BeyondTrust, Remote Support (RS) ve Privileged Remote Access (PRA) yazılımlarında iki kritik güvenlik açığı keşfettiğini ve kullanıcıları acilen yama yapmaya çağırdığını duyurdu. CVE-2026-40138 ve CVE-2026-40139 kodlu bu açıklar, saldırganların kimlik doğrulamasını atlayarak yetkisiz erişim sağlamasına olanak tanıyor. İlk açık, RS ve PRA'nın 25.3.2 ve önceki sürümlerini etkilerken, ikinci açık RS kimlik doğrulama isteklerinin hatalı işlenmesinden kaynaklanıyor.
BeyondTrust, bu açıkların istismar edilmesi için belirli bir kimlik doğrulama yapılandırmasının etkin olması gerektiğini belirtti ancak detay paylaşmadı. Ayrıca, CVE-2026-40140 ve CVE-2026-40141 kodlu iki yüksek önem dereceli açık daha yamalandı. Bu açıklar, hizmet reddi (DoS) saldırılarına veya kısıtlı kaynaklara erişime yol açabiliyor. Şirket, 'En ciddi açıklar, belirli yapılandırmalarda yetkisiz uzaktan saldırganların erişim kontrollerini atlamasına izin verebilir' uyarısında bulundu.
BeyondTrust, 21 Nisan 2026 itibarıyla tüm RS/PRA bulut müşterilerine yamanın uygulandığını duyurdu. Kendi sunucusunda barındıran müşterilerin, otomatik güncelleme aboneliği yoksa Nisan güvenlik toplu yamasını uygulamaları veya RS 25.3.3 ve üzeri ya da PRA 25.3.3 ve üzeri sürümlere yükseltmeleri gerekiyor. Shadowserver, internette açıkta yaklaşık 2.000 BeyondTrust RS ve PRA örneği tespit etti, ancak bunların ne kadarının tuzak (honeypot) olduğu veya yamalandığı bilinmiyor.
BeyondTrust, bu açıkların saldırılarda kullanıldığına dair bilgi paylaşmazken, geçmişte şirketin uzaktan destek yazılımındaki diğer güvenlik açıklarının vahşi ortamda istismar edildiği biliniyor. Örneğin, CVE-2026-1731 kodlu kritik bir açık, fidye yazılımı dağıtmak için kullanıldı. Ayrıca, Çin devlet destekli Silk Typhoon grubu, iki yıl önce ABD Hazine Bakanlığı'na sızmak için BeyondTrust açıklarından yararlandı. Bu grup, 17 Remote Support SaaS örneğini ele geçirmek için sıfır gün açıkları kullandı.