Kötü Amaçlı Yazılım Dağıtımı İçin Kullanılan Kritik SimpleHelp Güvenlik Açığı Yazılım

Kötü Amaçlı Yazılım Dağıtımı İçin Kullanılan Kritik SimpleHelp Güvenlik Açığı

Saldırganların yönetilen bir ağın kontrolünü ele geçirmek için bir oturum açma jetonu oluşturmasının ardından SimpleHelp'in uzaktan izleme ve yönetim ...

Saldırganların yönetilen bir ağın kontrolünü ele geçirmek için bir oturum açma jetonu oluşturmasının ardından SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımındaki kritik bir kimlik doğrulama bypass'ı, daha önce görülmemiş iki kötü amaçlı yazılım ailesini dağıtmak için kullanıldı.

Güvenlik firması Blackpoint Cyber'in yeni analizi, bir saldırganın internete bakan bir SimpleHelp sunucusunda güvenilir bir teknisyen oturumu elde etmek için CVE-2026-48558 olarak takip edilen kusurdan yararlandığını ortaya çıkardı.

Saldırgan daha sonra platformun kendi araçlarını kullanarak TaskWeaver ve Djinn Stealer adlı araştırmacılarına kötü amaçlı yazılım gönderdi.

Uzmanların Görüşleri

Sahte Token'dan Tam Kontrole

Kusurun CVSS ciddiyet puanı maksimum 10'dur. Etkilenen yapılandırmalarda SimpleHelp, OpenID Connect girişinde kimlik belirteçlerinin kriptografik imzasını kontrol edemedi ve kimliği doğrulanmamış bir saldırganın bir belirteç oluşturup teknisyen olarak oturum açmasına izin verdi.

Saldırgan, kimlik avı e-postası veya bağımsız bir istismar yerine, SimpleHelp'in kendi dosya aktarım ve uzaktan yürütme özelliklerini kötüye kullanarak jQuery kitaplığı kılığına girmiş, geçici bir Cloudflare adresinden getirilen ve Node.js aracılığıyla yürütülen jquery.js adlı karartılmış bir dosyayı toplu olarak dağıttı. Firma, güvenilir destek kanalının faaliyetin birbirine karışmasına izin verdiğini söyledi.

MSP'lere yönelik RMM saldırıları hakkında daha fazlasını okuyun: RMM Aracını Kullanarak MSP Saldırısında Kullanılan DragonForce Fidye Yazılımı

Sonuç ve Değerlendirme

Bir Yükleyici ve Kimlik Bilgisi Taraması

İsmine rağmen jquery.js, araştırmacıların TaskWeaver olarak takip ettiği, statik analizden kaçınmak için tasarlanmış modüler bir Node.js yükleyicisidir. Tek komutu olan "teslim et", operatörün tam Node.js erişimiyle gönderdiği kodu çalıştırır, böylece bir an hırsızı, sonra da arka kapıyı veya fidye yazılımını bırakabilir.

Teknik Analiz

Kurtarılan veri yükü Djinn Stealer, Windows, macOS ve Linux için platformlar arası bir bilgi hırsızıydı. Blackpoint, bir tedarik zinciri saldırısına neden olabilecek bulut ve altyapı anahtarları, kaynak kodu ve SSH kimlik bilgileri, kripto para birimi cüzdanları ve paket kayıt tokenları için bir makineyi taradığını söyledi.

Detaylar ve Etkileri

Kurallar çoğu hırsızın ötesine geçerek yapay zeka kodlama asistanlarının arkasındaki jetonlara ulaştı. Geliştiriciler genellikle bu asistanlara kodlara, veritabanlarına ve bulut hesaplarına sürekli erişim izni verir, böylece çalınan tokenlar saldırgana yapay zekanın çok ötesinde aynı erişime sahip olur.

Uç Noktanın Ötesindeki Risk

Blackpoint, hasarın ihlal edilen sunucudan daha uzun süre dayanacağı konusunda uyardı: Tek bir geçiş, bulut platformlarına, kod depolarına, yapay zeka araçlarına ve müşteri ortamlarına giden bir yol haline geldi ve çalınan kimlik bilgileri, uç nokta izole edildikten sonra bu erişimin canlı kalmasını sağladı. Yönetilen hizmet sağlayıcılar (MSP'ler) için, açığa çıkan tek bir sunucu her alt müşteriyi etkileyebilir.

Sistem Güvenliği

SimpleHelp, kusuru Mayıs ayı sonlarında 5.5.16 ve 6.0 RC2 sürümlerinde yamaladı. 29 Haziran'da Blackpoint'in bulgularını yayınlamasının ardından CISA, bunu Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.

Blackpoint, MSP'leri yama yapmaya, SimpleHelp'i internetten kaldırmaya ve açığa çıkan sırları döndürmeye, bir uç nokta temizlendikten sonra bile kimlik bilgilerini tehlikeye atılmış olarak değerlendirmeye çağırdı. Bulgular, her iki kötü amaçlı yazılım ailesinin de önceden belgelenmemiş olduğu tek bir izinsiz girişten elde edildi.

Paylaş: