SimpleHelp RMM Açığı Aktif Olarak Sömürülüyor: İki Yeni Kötü Amaçlı Yazılım Tespit Edildi Siber Güvenlik

SimpleHelp RMM Açığı Aktif Olarak Sömürülüyor: İki Yeni Kötü Amaçlı Yazılım Tespit Edildi

SimpleHelp RMM'deki kritik güvenlik açığı, saldırganların yönetilen bir ağı ele geçirmek için sahte bir kimlik belgesi oluşturmasına olanak tanıdı.

SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımındaki kritik bir kimlik doğrulama atlatma açığı, daha önce belgelenmemiş iki kötü amaçlı yazılım ailesini yaymak için kullanıldı. Blackpoint Cyber güvenlik firmasının yeni analizine göre, saldırgan CVE-2026-48558 olarak izlenen açıktan yararlanarak, internet üzerinden erişilebilen bir SimpleHelp sunucusunda güvenilir bir teknisyen oturumu elde etti. Daha sonra platformun kendi araçlarını kullanarak, araştırmacıların TaskWeaver ve Djinn Stealer adını verdiği kötü amaçlı yazılımları dağıttı.

Açık, maksimum 10 CVSS puanına sahip ve SimpleHelp'in OpenID Connect oturum açma işleminde kimlik belgelerinin kriptografik imzasını kontrol etmemesinden kaynaklanıyor. Bu, kimliği doğrulanmamış bir saldırganın sahte bir belge oluşturup teknisyen olarak oturum açmasına olanak tanıyor. Saldırgan, bir kimlik avı e-postası veya bağımsız bir istismar yerine, SimpleHelp'in kendi dosya aktarım ve uzaktan yürütme özelliklerini kullanarak, jQuery kütüphanesi kılığına girmiş ve geçici bir Cloudflare adresinden getirilip Node.js ile yürütülen jquery.js adlı gizlenmiş bir dosyayı toplu olarak dağıttı.

jquery.js aslında, statik analizden kaçmak üzere tasarlanmış modüler bir Node.js yükleyicisidir ve TaskWeaver olarak izlenmektedir. Tek komutu 'deliver', operatörün gönderdiği kodu tam Node.js erişimiyle çalıştırarak bir anda çalıcı, ardından arka kapı veya fidye yazılımı bırakmasını sağlar. Kurtarılan yük olan Djinn Stealer ise Windows, macOS ve Linux için bir bilgi çalıcıdır. Blackpoint, bu kötü amaçlı yazılımın bulut ve altyapı anahtarlarını, kaynak kodunu, SSH kimlik bilgilerini, kripto para cüzdanlarını ve tedarik zinciri saldırısına yol açabilecek paket kayıt defteri belirteçlerini taradığını belirtti. Özellikle AI kodlama asistanlarının arkasındaki belirteçleri hedef alarak, geliştiricilerin bu asistanlara verdiği geniş erişim izinlerini kötüye kullanıyor.

Sistem Güvenliği

Blackpoint, hasarın yalnızca ihlal edilen sunucuyla sınırlı kalmadığı konusunda uyardı: Tek bir kimlik atlatma, bulut platformlarına, kod depolarına, AI araçlarına ve müşteri ortamlarına giden bir yol haline gelirken, çalınan kimlik bilgileri uç nokta izole edildikten sonra bile erişimi canlı tutuyor. SimpleHelp, Mayıs ayı sonunda 5.5.16 ve 6.0 RC2 sürümlerinde açığı yamaladı. 29 Haziran'da CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'leri yamalamaya, SimpleHelp'i internetten çekmeye ve açığa çıkmış tüm sırları döndürmeye çağırdı. Bulgular, her iki kötü amaçlı yazılım ailesinin de daha önce belgelenmediği tek bir kontrollü saldırıdan elde edildi.

Paylaş: