SimpleHelp uzaktan izleme ve yönetim (RMM) yazılımında keşfedilen kritik bir güvenlik açığı, saldırganlar tarafından aktif olarak istismar ediliyor. Blackpoint Cyber güvenlik firmasının analizine göre, CVE-2026-48558 olarak izlenen bu açık, saldırganların sahte bir kimlik doğrulama token'ı oluşturarak SimpleHelp sunucusunda yetkili bir teknisyen oturumu elde etmesine olanak tanıyor. Bu sayede saldırganlar, RMM platformunun kendi araçlarını kullanarak TaskWeaver ve Djinn Stealer adlı daha önce görülmemiş iki kötü amaçlı yazılım ailesini hedef ağa yaymayı başardı.
Açık, CVSS skorlamasında 10 üzerinden 10 puan alarak maksimum kritik seviyede değerlendiriliyor. SimpleHelp'in OpenID Connect oturum açma mekanizması, kimlik token'larının kriptografik imzasını doğrulamadığı için, kimliği doğrulanmamış bir saldırgan sahte bir token oluşturup teknisyen olarak giriş yapabiliyor. Blackpoint, saldırganın bir kimlik avı e-postası veya bağımsız bir istismar kullanmak yerine, SimpleHelp'in dosya transferi ve uzaktan çalıştırma özelliklerini kötüye kullanarak jQuery kütüphanesi kılığına girmiş bir Node.js yükleyicisi olan jquery.js dosyasını toplu olarak dağıttığını belirtiyor.
TaskWeaver adı verilen bu yükleyici, statik analizden kaçmak üzere tasarlanmış modüler bir Node.js yükleyicisi olarak çalışıyor. 'deliver' komutuyla operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırarak, bir anda bilgi çalıcı, bir sonraki anda arka kapı veya fidye yazılımı bırakabiliyor. İkinci kötü amaçlı yazılım olan Djinn Stealer ise Windows, macOS ve Linux için geliştirilmiş çapraz platform bir bilgi hırsızı. Blackpoint, bu yazılımın bulut ve altyapı anahtarları, kaynak kod, SSH kimlik bilgileri, kripto para cüzdanları ve tedarik zinciri saldırısına yol açabilecek paket kayıt defteri token'larını hedef aldığını tespit etti.
Sistem Güvenliği
Blackpoint, bu güvenlik açığının etkisinin yalnızca ihlal edilen sunucuyla sınırlı olmadığına dikkat çekiyor. Tek bir atlatma, bulut platformları, kod depoları, AI araçları ve müşteri ortamlarına erişim sağlayabilir. Özellikle yönetilen hizmet sağlayıcıları (MSP'ler) için, tek bir açık sunucu tüm alt müşterileri etkileyebilir. SimpleHelp, Mayıs sonunda 5.5.16 ve 6.0 RC2 sürümleriyle açığı yamaladı. Blackpoint, MSP'lere yamayı uygulamalarını, SimpleHelp'i internetten çekmelerini ve tüm gizli bilgileri döndürmelerini öneriyor.