BeyondTrust, Remote Support (RS) ve Privileged Remote Access (PRA) ürünlerinde keşfedilen kritik güvenlik açıklarını gideren güncellemeler yayımladı. Bu açıklar, başarıyla istismar edildiğinde kimliği doğrulanmamış saldırganların savunmasız cihazların kontrolünü ele geçirmesine olanak tanıyabiliyor. Şirket, zafiyetleri kendi güvenlik değerlendirmeleri sırasında tespit ettiğini ve Anthropic Claude Opus 4.8 gibi yapay zeka modellerinden yardım aldığını belirtti.
Güvenlik açıkları arasında en dikkat çekici olanlar CVE-2026-40138 ve CVE-2026-40139 (CVSS 9.2). Her iki açık da kimlik doğrulama öncesi aşamada ortaya çıkıyor ve ağ tabanlı saldırganların erişim kontrollerini atlayarak cihaza tam yetkiyle erişmesine izin veriyor. Ancak bu açıkların istismarı, belirli bir kimlik doğrulama yapılandırmasının etkin olmasına bağlı. CVE-2026-40140 (CVSS 8.7) ise ağ iletişim alt sistemindeki bir zafiyetten kaynaklanarak hizmet reddine yol açarken, CVE-2026-40141 (CVSS 8.5) sınırlı yetkilere sahip kimliği doğrulanmış kullanıcıların yetkilerini aşmasına neden olabiliyor.
BeyondTrust, bu güvenlik açıklarının henüz vahşi ortamda istismar edildiğine dair bir kanıt bulunmadığını ifade etse de, geçmişte RS ve PRA ürünlerindeki benzer açıkların (CVE-2024-12356 ve CVE-2026-1731) web shell ve backdoor dağıtmak için aktif olarak kullanıldığını hatırlatıyor. Bu nedenle kullanıcıların güncellemeleri gecikmeden uygulaması kritik önem taşıyor.
Sorunlu sürümler ve düzeltmeler şöyle: Remote Support RS 25.3.2 ve altı (RS 25.3.3 ve üstünde düzeltildi), Privileged Remote Access PRA 25.3.2 ve altı (PRA 25.3.3 ve üstünde düzeltildi). BeyondTrust, tüm kullanıcılarına en kısa sürede bu sürümlere yükseltme yapmalarını öneriyor. Güvenlik uzmanları, özellikle kritik altyapılarda kullanılan bu ürünlerdeki açıkların hızla kapatılması gerektiği konusunda uyarıyor.