SimpleHelp Güvenlik Açığı Aktif Olarak Kötü Amaçlı Yazılım Dağıtmak İçin Kullanılıyor Siber Güvenlik

SimpleHelp Güvenlik Açığı Aktif Olarak Kötü Amaçlı Yazılım Dağıtmak İçin Kullanılıyor

SimpleHelp RMM yazılımındaki kritik güvenlik açığı, saldırganların yönetilen ağa tam erişim sağlayarak iki yeni kötü amaçlı yazılım dağıtmasına yol aç

SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımında keşfedilen kritik bir güvenlik açığı, saldırganlar tarafından daha önce bilinmeyen iki kötü amaçlı yazılım ailesini dağıtmak için kullanıldı. Blackpoint Cyber güvenlik firmasının analizine göre, CVE-2026-48558 olarak izlenen bu açık, saldırganların İnternet'e açık bir SimpleHelp sunucusunda sahte bir kimlik doğrulama tokeni oluşturarak güvenilir bir teknisyen oturumu elde etmesine olanak tanıdı. Bu sayede saldırganlar, platformun kendi dosya aktarım ve uzaktan yürütme özelliklerini kullanarak TaskWeaver ve Djinn Stealer adlı zararlı yazılımları hedef ağa yaymayı başardı.

Güvenlik açığı, en yüksek CVSS puanı olan 10'a sahip. SimpleHelp'in OpenID Connect oturum açma işleminde kimlik tokenlerinin kriptografik imzasını kontrol etmemesi, kimliği doğrulanmamış bir saldırganın token sahteciliği yaparak teknisyen olarak giriş yapmasına izin verdi. Saldırgan, jQuery kütüphanesi kılığına girmiş obfuscate edilmiş bir dosyayı (jquery.js) geçici bir Cloudflare adresinden çekerek Node.js ile çalıştırdı. Blackpoint, güvenilir destek kanalının bu aktiviteyi gizlediğini belirtti. Bu saldırı, MSP'leri hedef alan RMM tabanlı saldırılarda DragonForce fidye yazılımının kullanıldığı önceki olayları hatırlatıyor.

jquery.js dosyası aslında TaskWeaver adı verilen modüler bir Node.js yükleyicisiydi. Statik analizden kaçınmak için tasarlanan bu yükleyici, 'deliver' komutuyla operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırabiliyordu. Bu sayede bir anda bilgi hırsızı, ardından arka kapı veya fidye yazılımı yükleyebiliyordu. Kurtarılan Djinn Stealer ise Windows, macOS ve Linux için geliştirilmiş çapraz platform bir bilgi hırsızıydı. Blackpoint, bu yazılımın bulut ve altyapı anahtarları, kaynak kodu, SSH kimlik bilgileri, kripto para cüzdanları ve tedarik zinciri saldırılarına yol açabilecek paket kayıt defteri tokenlerini hedef aldığını tespit etti. Ayrıca, AI kodlama asistanlarının tokenlerini de çalan bu yazılım, geliştiricilerin kod, veritabanı ve bulut hesaplarına verdiği geniş erişimi istismar ediyor.

Blackpoint, bu saldırının etkisinin yalnızca ele geçirilen sunucuyla sınırlı kalmadığına dikkat çekti. Tek bir güvenlik açığı, bulut platformlarına, kod depolarına, AI araçlarına ve müşteri ortamlarına uzanan bir yol haline gelirken, çalınan kimlik bilgileri uç nokta izole edildikten sonra bile erişimi canlı tutuyor. MSP'ler için bu, tek bir açık sunucunun tüm alt müşterileri etkileyebileceği anlamına geliyor. SimpleHelp, Mayıs ayı sonunda 5.5.16 ve 6.0 RC2 sürümleriyle bu açığı yamaladı. 29 Haziran'da ise CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'leri yamalamaya, SimpleHelp'i internetten çekmeye ve tüm sızdırılmış sırları döndürmeye çağırdı; uç nokta temizlense bile kimlik bilgilerinin güvenliğinin tehlikede olduğu uyarısında bulundu.

Paylaş: