BeyondTrust, Remote Support (RS) ve Privileged Remote Access (PRA) yazılımlarında iki kritik güvenlik açığı keşfedildiğini ve kullanıcıların bu açıkları kapatmak için yamaları uygulamaları gerektiğini duyurdu. CVE-2026-40138 ve CVE-2026-40139 olarak izlenen bu açıklar, saldırganların kimlik doğrulamayı atlayarak sistemlere yetkisiz erişim sağlamasına olanak tanıyor. İlk açık, RS ve PRA yazılımlarının 25.3.2 ve önceki sürümlerini etkilerken, ikinci açık ise RS kimlik doğrulama isteklerinin hatalı işlenmesinden kaynaklanıyor. BeyondTrust, bu açıkların istismar edilebilmesi için belirli bir kimlik doğrulama yapılandırmasının etkinleştirilmiş olması gerektiğini belirtti.
BeyondTrust, ayrıca iki yüksek önem dereceli güvenlik sorunu (CVE-2026-40140 ve CVE-2026-40141) için de güvenlik güncellemeleri yayınladı. Bu açıklar, hizmet reddi saldırılarına veya kısıtlı kaynaklara yetkisiz erişime yol açabiliyor. Şirket, en ciddi güvenlik açıklarının, belirli yapılandırmalar altında, kimliği doğrulanmamış uzak saldırganların erişim kontrollerini atlayarak sisteme yetkisiz erişim sağlamasına izin verebileceğini belirtti. Bu açıkların yanı sıra, hizmet kesintisi, istenmeyen veri erişimi ve kimliği doğrulanmış kullanıcılar tarafından ayrıcalık yükseltme gibi sorunlara da yol açabileceği ifade edildi.
BeyondTrust, bulut müşterileri için 21 Nisan 2026 itibarıyla yamaların uygulandığını duyurdu. Kendi kendine barındırılan müşterilerin ise otomatik güncellemelere abone değillerse, etkilenen sürüm için Nisan güvenlik güncellemesini uygulamaları veya RS 25.3.3 ve üzeri ya da PRA 25.3.3 ve üzeri sürümlere yükseltmeleri gerekiyor. İnternet güvenliği izleme grubu Shadowserver, çevrimiçi olarak yaklaşık 2.000 BeyondTrust RS ve PRA örneği tespit etti, ancak bunların ne kadarının bal küpü (honeypot) olduğu veya bu açıklara karşı yamalanmış olduğu bilinmiyor.
Nasıl Önlem Alınmalı?
BeyondTrust, bu açıkların saldırılarda kullanıldığına dair bir bilgi paylaşmasa da, geçmişte şirketin uzaktan destek yazılımlarındaki güvenlik açıklarının vahşi ortamda istismar edildiği biliniyor. Örneğin, CVE-2026-1731 olarak izlenen kritik bir ön kimlik doğrulama uzaktan kod yürütme açığı, WebSocket kanalları oluşturmak ve savunmasız sistemlere fidye yazılımı dağıtmak için kullanılmıştı. Ayrıca, iki yıl önce ABD Hazine Bakanlığı'nın ağının, Çin devlet destekli Silk Typhoon siber casusluk grubu tarafından sömürülen BeyondTrust açıkları nedeniyle ihlal edildiği ortaya çıkmıştı. Bu grup, iki sıfırıncı gün açığını (CVE-2024-12356 ve CVE-2024-12686) kullanarak BeyondTrust sistemlerine sızmış ve çalınan bir API anahtarıyla 17 Remote Support SaaS örneğini, Hazine Bakanlığı'nın da aralarında bulunduğu sistemleri tehlikeye atmıştı.