SimpleHelp Kritik Açığı Aktif Olarak Sömürülüyor: TaskWeaver ve Djinn Stealer Kötü Amaçlı Yazılımları Yayılıyor Linux

SimpleHelp Kritik Açığı Aktif Olarak Sömürülüyor: TaskWeaver ve Djinn Stealer Kötü Amaçlı Yazılımları Yayılıyor

SimpleHelp RMM yazılımındaki kritik bir güvenlik açığı, daha önce görülmemiş iki kötü amaçlı yazılım ailesini yaymak için kullanıldı. Saldırganlar, yö

SimpleHelp uzaktan izleme ve yönetim (RMM) yazılımındaki kritik bir kimlik doğrulama atlatma açığı, daha önce bilinmeyen iki kötü amaçlı yazılım ailesini yaymak için kullanıldı. Saldırganlar, sahte bir oturum açma tokeni oluşturarak yönetilen bir ağın kontrolünü ele geçirdi. Güvenlik firması Blackpoint Cyber tarafından yapılan analizler, saldırganın CVE-2026-48558 olarak izlenen bu açığı kullanarak, internete açık bir SimpleHelp sunucusunda güvenilir bir teknisyen oturumu elde ettiğini ortaya koydu. Saldırgan daha sonra platformun kendi araçlarını kullanarak, araştırmacıların TaskWeaver ve Djinn Stealer adını verdiği kötü amaçlı yazılımları yaydı.

Açık, CVSS puanlama sistemine göre maksimum 10 üzerinden 10 puan alarak en yüksek kritiklik seviyesinde değerlendiriliyor. Etkilenen yapılandırmalarda SimpleHelp, OpenID Connect oturum açma işleminde kimlik tokenlerinin kriptografik imzasını kontrol etmiyor. Bu durum, kimliği doğrulanmamış bir saldırganın sahte bir token oluşturmasına ve sisteme teknisyen olarak giriş yapmasına olanak tanıyor. Saldırgan, bir kimlik avı e-postası veya bağımsız bir istismar kullanmak yerine, SimpleHelp'in kendi dosya aktarım ve uzaktan yürütme özelliklerini kullanarak, jQuery kütüphanesi gibi görünen gizlenmiş bir dosyayı (jquery.js) toplu olarak dağıttı. Bu dosya, geçici bir Cloudflare adresinden alındı ve Node.js aracılığıyla çalıştırıldı. Güvenilir destek kanalının kullanılması, bu etkinliğin normal trafik içinde kaybolmasını sağladı.

jquery.js adına rağmen, aslında statik analizden kaçmak için tasarlanmış modüler bir Node.js yükleyicisidir. Araştırmacılar bu yükleyiciyi TaskWeaver olarak adlandırıyor. TaskWeaver'ın tek komutu olan 'deliver', operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırabiliyor. Bu sayede bir anda bilgi çalıcı, bir sonraki anda ise arka kapı veya fidye yazılımı bırakabiliyor. Kurtarılan yük olan Djinn Stealer ise Windows, macOS ve Linux için geliştirilmiş çapraz platform bir bilgi çalıcı. Blackpoint'e göre Djinn Stealer, makineleri bulut ve altyapı anahtarları, kaynak kodları, SSH kimlik bilgileri, kripto para cüzdanları ve tedarik zinciri saldırılarına yol açabilecek paket kayıt tokenleri için tarıyor.

Djinn Stealer'ın kuralları, çoğu bilgi çalıcıdan daha kapsamlı. Yapay zeka kodlama asistanlarının arkasındaki tokenleri de hedef alıyor. Geliştiriciler genellikle bu asistanlara kod, veritabanı ve bulut hesaplarına sürekli erişim izni veriyor. Çalınan tokenler, saldırgana aynı erişimi sağlayarak yapay zekanın ötesine geçiyor. Blackpoint, hasarın ihlal edilen sunucunun ötesine geçtiği konusunda uyarıyor: Tek bir kimlik doğrulama atlatma, bulut platformlarına, kod depolarına, yapay zeka araçlarına ve müşteri ortamlarına giden bir yol haline geliyor. Çalınan kimlik bilgileri, uç nokta izole edildikten sonra bile bu erişimi canlı tutuyor. Özellikle yönetilen hizmet sağlayıcıları (MSP'ler) için, tek bir açık sunucu tüm alt müşterileri etkileyebiliyor.

Detaylar ve Etkileri

SimpleHelp, bu açığı Mayıs ayı sonunda 5.5.16 ve 6.0 RC2 sürümleriyle kapattı. 29 Haziran'da Blackpoint'in bulgularını yayınlamasının ardından CISA, bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'lere sunucuları güncellemelerini, SimpleHelp'i internetten çekmelerini ve açığa çıkmış tüm sırları değiştirmelerini tavsiye ediyor. Ayrıca, uç nokta temizlendikten sonra bile kimlik bilgilerinin tehlikeye atılmış olarak değerlendirilmesi gerektiği vurgulanıyor. Bulgular, daha önce belgelenmemiş iki kötü amaçlı yazılım ailesiyle yapılan tek bir sınırlı saldırıya dayanıyor.

Önemli Gelişmeler

Bu olay, RMM araçlarının kritik güvenlik açıklarının ne kadar ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne seriyor. Özellikle MSP'lerin, müşteri ağlarını yönetirken kullandıkları yazılımların güvenliğine azami özen göstermeleri gerekiyor. SimpleHelp kullanıcılarının, en kısa sürede güncellemeleri uygulaması ve ağlarında herhangi bir ihlal belirtisi olup olmadığını kontrol etmesi kritik önem taşıyor. Ayrıca, güçlü kimlik doğrulama mekanizmaları ve ağ segmentasyonu gibi ek güvenlik önlemlerinin alınması, benzer saldırıların etkisini azaltmada yardımcı olabilir.

Kaynak: infosecurity-magazine.com

Paylaş: