BeyondTrust, Remote Support (RS) ve Privileged Remote Access (PRA) yazılımlarında iki kritik güvenlik açığı bulunduğunu duyurdu. CVE-2026-40138 ve CVE-2026-40139 kodlu bu açıklar, saldırganların kimlik doğrulamasını atlayarak sistemlere yetkisiz erişim sağlamasına olanak tanıyor. İlk açık, RS ve PRA'nın 25.3.2 ve önceki sürümlerini etkilerken, ikinci açık ise RS kimlik doğrulama isteklerinin hatalı işlenmesinden kaynaklanıyor. Her iki açığın da belirli bir kimlik doğrulama yapılandırması gerektirdiği belirtiliyor.
BeyondTrust ayrıca iki yüksek önem dereceli güvenlik sorununu (CVE-2026-40140 ve CVE-2026-40141) da düzelten güncellemeler yayınladı. Bu açıklar, hizmet reddi veya kısıtlı kaynaklara erişim gibi sorunlara yol açabiliyor. Şirket, en ciddi açıkların belirli yapılandırmalar altında yetkisiz erişime izin verdiğini, diğerlerinin ise hizmet kesintisi veya veri sızıntısına neden olabileceğini belirtti. Güncellemeler, bulut müşterilerine 21 Nisan 2026 itibarıyla uygulandı; kendi sunucularını yöneten müşterilerin ise RS 25.3.3 veya PRA 25.3.3 sürümüne yükseltme yapması öneriliyor.
İnternet güvenlik izleme kuruluşu Shadowserver, çevrimiçi olarak yaklaşık 2.000 BeyondTrust RS ve PRA örneği tespit etti. Ancak bunların ne kadarının tuzak sistem (honeypot) olduğu veya güncellemeleri yapıp yapmadığı bilinmiyor. BeyondTrust, bu açıkların saldırılarda kullanıldığına dair bir bilgi paylaşmazken, geçmişte benzer güvenlik açıklarının hedef alındığı biliniyor. Örneğin, CVE-2026-1731 koduyla bilinen bir açık, fidye yazılımı saldırılarında kullanılmıştı.
Önemli Gelişmeler
Geçmişte BeyondTrust yazılımlarındaki açıklar, ABD devlet kurumlarına yönelik saldırılarda da kullanıldı. İki yıl önce, Çin devlet destekli Silk Typhoon grubu, iki sıfır gün açığını (CVE-2024-12356 ve CVE-2024-12686) kullanarak ABD Hazine Bakanlığı'nın sistemlerine sızmıştı. Aynı grup, ABD Yabancı Yatırımlar Komitesi (CFIUS) ve Yabancı Varlıkları Kontrol Ofisi'ni (OFAC) de hedef almıştı. BeyondTrust, bu tür saldırılara karşı müşterilerini güncellemeleri uygulamaya çağırıyor.