SimpleHelp Kritik Açığı Aktif Olarak Sömürülüyor: Yeni Zararlı Yazılım Aileleri Keşfedildi Siber Güvenlik

SimpleHelp Kritik Açığı Aktif Olarak Sömürülüyor: Yeni Zararlı Yazılım Aileleri Keşfedildi

SimpleHelp RMM yazılımındaki kritik açık, saldırganların yeni TaskWeaver ve Djinn Stealer zararlı yazılımlarını yaymasına olanak tanıdı.

SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımında keşfedilen kritik bir kimlik doğrulama atlatma açığı, saldırganlar tarafından aktif olarak sömürülüyor. Blackpoint Cyber güvenlik firmasının yaptığı analizlere göre, CVE-2026-48558 olarak izlenen bu güvenlik zaafiyeti, saldırganların sahte bir giriş tokeni oluşturarak SimpleHelp sunucusunda yetkili bir teknisyen oturumu elde etmesine olanak tanıdı. Bu sayede saldırgan, ağ üzerinde tam kontrol sağlayarak daha önce görülmemiş iki zararlı yazılım ailesini (TaskWeaver ve Djinn Stealer) hedef sistemlere bulaştırmayı başardı.

Açık, maksimum CVSS puanı olan 10 üzerinden değerlendiriliyor. SimpleHelp'in OpenID Connect giriş sisteminde kimlik tokenlerinin kriptografik imzasını kontrol etmemesi nedeniyle, kimliği doğrulanmamış bir saldırgan sahte token oluşturup teknisyen olarak oturum açabiliyor. Saldırgan, SimpleHelp'in dosya transferi ve uzaktan çalıştırma özelliklerini kullanarak, jQuery kütüphanesi gibi görünen ancak aslında TaskWeaver adlı Node.js tabanlı bir yükleyici olan 'jquery.js' dosyasını dağıttı. Bu yükleyici, yalnızca 'deliver' komutunu çalıştırarak operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırabiliyor.

Blackpoint araştırmacıları, ele geçirilen yükün Djinn Stealer adlı çapraz platform bir bilgi hırsızı olduğunu tespit etti. Windows, macOS ve Linux sistemlerini hedef alan bu zararlı yazılım, bulut ve altyapı anahtarları, kaynak kodları, SSH kimlik bilgileri, kripto para cüzdanları ve tedarik zinciri saldırılarına yol açabilecek paket kayıt defteri tokenlerini çalıyor. Özellikle yapay zeka kodlama asistanlarının tokenlerini hedef alması, geliştiricilerin bu asistanlara verdiği geniş erişim yetkileri nedeniyle büyük risk oluşturuyor.

Blackpoint, bu açığın etkilerinin yalnızca ele geçirilen sunucuyla sınırlı kalmadığını vurguluyor. Tek bir güvenlik atlatma, bulut platformlarına, kod depolarına, yapay zeka araçlarına ve müşteri ortamlarına kadar uzanan bir saldırı yoluna dönüşebiliyor. SimpleHelp, Mayıs ayı sonunda yayınladığı 5.5.16 ve 6.0 RC2 sürümleriyle açığı giderdi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ise 29 Haziran'da bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Güvenlik uzmanları, MSP'leri acilen güncelleme yapmaya, SimpleHelp'i internetten çekmeye ve tüm sızdırılmış sırları döndürmeye çağırıyor.

Paylaş: