SimpleHelp Kritik Güvenlik Açığı: Saldırganlar Kimlik Doğrulamasını Atlayarak Kötü Amaçlı Yazılım Dağıtıyor Siber Güvenlik

SimpleHelp Kritik Güvenlik Açığı: Saldırganlar Kimlik Doğrulamasını Atlayarak Kötü Amaçlı Yazılım Dağıtıyor

SimpleHelp RMM yazılımındaki kritik açık, saldırganlara sahte token ile tam erişim sağladı. Blackpoint, TaskWeaver ve Djinn Stealer adlı iki yeni kötü

SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımında keşfedilen kritik bir kimlik doğrulama atlatma güvenlik açığı, saldırganlar tarafından daha önce görülmemiş iki farklı kötü amaçlı yazılım ailesini dağıtmak için kullanıldı. Saldırganlar, sahte bir giriş tokeni oluşturarak yönetilen bir ağın kontrolünü ele geçirdi. Güvenlik firması Blackpoint Cyber'in yeni analizine göre, saldırgan CVE-2026-48558 olarak izlenen bu açığı kullanarak internet üzerinden erişilebilen bir SimpleHelp sunucusunda güvenilir teknisyen oturumu elde etti. Ardından platformun kendi araçlarını kullanarak TaskWeaver ve Djinn Stealer adını verdikleri kötü amaçlı yazılımları yaydı.

Açık, CVSS puanlama sisteminde maksimum 10 puan alarak en kritik seviyede değerlendirildi. Etkilenen yapılandırmalarda SimpleHelp, OpenID Connect girişinde kimlik tokenlerinin kriptografik imzasını kontrol etmediği için kimliği doğrulanmamış bir saldırganın token sahteciliği yaparak teknisyen olarak oturum açmasına olanak tanıyor. Saldırgan, bir kimlik avı e-postası veya bağımsız bir istismar kullanmak yerine, SimpleHelp'in kendi dosya aktarım ve uzaktan çalıştırma özelliklerini kötüye kullanarak jQuery kütüphanesi kılığına girmiş jquery.js adlı obfuscated bir dosyayı toplu olarak dağıttı. Bu dosya, geçici bir Cloudflare adresinden alınarak Node.js üzerinden çalıştırıldı. Firma, güvenilir destek kanalının bu etkinliğin normal trafik içinde gizlenmesine yardımcı olduğunu belirtti.

jquery.js adına rağmen, aslında TaskWeaver olarak izlenen modüler bir Node.js yükleyicisi. Statik analizden kaçınmak üzere tasarlanan bu yükleyicinin tek komutu 'deliver' olup, operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırabiliyor. Bu sayede bir anda bilgi hırsızı, bir sonraki anda arka kapı veya fidye yazılımı bırakabiliyor. Ele geçirilen ikinci yük olan Djinn Stealer ise Windows, macOS ve Linux için çapraz platform bir bilgi hırsızı. Blackpoint'e göre bu yazılım, sistemdeki bulut ve altyapı anahtarlarını, kaynak kodlarını, SSH kimlik bilgilerini, kripto para cüzdanlarını ve tedarik zinciri saldırısına yol açabilecek paket kayıt defteri tokenlerini tarıyor.

Gelecekte Ne Bekleniyor?

Djinn Stealer, çoğu bilgi hırsızından daha kapsamlı kurallarla AI kodlama asistanlarının arkasındaki tokenleri de hedef aldı. Geliştiriciler genellikle bu asistanlara kod, veritabanı ve bulut hesaplarına sürekli erişim izni veriyor. Çalınan tokenler sayesinde saldırgan, AI asistanının kendisinin ötesinde aynı geniş erişime sahip oluyor. Blackpoint, hasarın ele geçirilen sunucunun ötesine geçtiği konusunda uyardı: tek bir kimlik doğrulama atlatma, bulut platformlarına, kod depolarına, AI araçlarına ve müşteri ortamlarına giden bir yol haline geldi. Çalınan kimlik bilgileri, uç nokta izole edildikten sonra bile bu erişimi canlı tutuyor.

Uzmanların Görüşleri

Yönetilen hizmet sağlayıcılar (MSP'ler) için tek bir açık sunucu, tüm alt müşterileri etkileyebilir. SimpleHelp, bu güvenlik açığını Mayıs ayı sonlarında 5.5.16 ve 6.0 RC2 sürümlerinde yamaladı. Blackpoint'in bulgularını yayınlamasının ardından 29 Haziran'da CISA, bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'leri yamayı uygulamaya, SimpleHelp'i internetten çekmeye ve açıkta kalan tüm gizli anahtarları döndürmeye çağırdı. Uç nokta temizlendikten sonra bile kimlik bilgilerinin tehlikeye girdiği kabul edilmeli. Bulgular, daha önce belgelenmemiş iki kötü amaçlı yazılım ailesinin yer aldığı tek bir kontrollü saldırıdan elde edildi.

Sonuç ve Değerlendirme

Bu saldırı, RMM araçlarının güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. Özellikle MSP'lerin kullandığı yazılımlardaki açıklar, tedarik zinciri boyunca zincirleme etkilere yol açabiliyor. Saldırganların SimpleHelp'in meşru özelliklerini kullanarak kötü amaçlı yazılım dağıtması, savunma ekiplerinin alışılmadık davranışları tespit etmesini zorlaştırıyor. Bu nedenle, sadece yama yönetimi değil, aynı zamanda davranışsal analiz ve en az ayrıcalık ilkesi gibi derinlemesine savunma stratejileri de hayati önem taşıyor. Kullanıcıların ve MSP'lerin, SimpleHelp gibi RMM araçlarını internet üzerinden doğrudan erişime açmak yerine VPN veya güvenli ağ geçitleri arkasında kullanmaları öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: