SimpleHelp RMM Yazılımındaki Kritik Açık, İki Yeni Kötü Amaçlı Yazılımın Dağıtımında Kullanıldı Siber Güvenlik

SimpleHelp RMM Yazılımındaki Kritik Açık, İki Yeni Kötü Amaçlı Yazılımın Dağıtımında Kullanıldı

SimpleHelp RMM yazılımındaki kritik bir açık, saldırganların sahte bir kimlik doğrulama tokeni oluşturarak sisteme tam yetkili tekniker olarak girmesi

SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımındaki kritik bir kimlik doğrulama atlatma açığı, saldırganlar tarafından daha önce görülmemiş iki kötü amaçlı yazılım ailesini dağıtmak için kullanıldı. Blackpoint Cyber güvenlik firmasının analizine göre, CVE-2026-48558 olarak izlenen açık, saldırganın internete açık bir SimpleHelp sunucusunda güvenilir bir tekniker oturumu elde etmesine olanak tanıdı. Saldırgan, platformun kendi araçlarını kullanarak TaskWeaver ve Djinn Stealer adını verdikleri kötü amaçlı yazılımları yaydı.

Açık, CVSS puanı 10 olan maksimum ciddiyet düzeyine sahip. SimpleHelp'in OpenID Connect oturum açma işleminde kimlik tokenlerinin kriptografik imzasını kontrol etmemesi nedeniyle, kimliği doğrulanmamış bir saldırgan sahte bir token oluşturup tekniker olarak oturum açabiliyor. Saldırgan, bir kimlik avı e-postası veya bağımsız bir istismar yerine, SimpleHelp'in kendi dosya aktarım ve uzaktan çalıştırma özelliklerini kullanarak jQuery kütüphanesi kılığında gizlenmiş bir dosyayı (jquery.js) geçici bir Cloudflare adresinden çekip Node.js ile çalıştırdı. Güvenilir destek kanalı sayesinde bu faaliyet normal trafikle karıştı.

jquery.js dosyası, adının aksine, statik analizden kaçmak için tasarlanmış modüler bir Node.js yükleyicisi olan TaskWeaver'dı. Tek komutu olan 'deliver', işletmenin gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırarak bir anda stealer, sonra backdoor veya fidye yazılımı düşürebiliyordu. Kurtarılan yük Djinn Stealer ise Windows, macOS ve Linux için çapraz platform bir bilgi hırsızıydı. Bulut ve altyapı anahtarları, kaynak kodu, SSH kimlik bilgileri, kripto para cüzdanları ve tedarik zinciri saldırısına yol açabilecek paket kayıt defteri tokenlerini hedef alıyordu.

Önemli Gelişmeler

Djinn Stealer, çoğu stealer'ın ötesine geçerek yapay zeka kodlama asistanlarının tokenlerini de topladı. Geliştiriciler genellikle bu asistanlara kod, veritabanı ve bulut hesaplarına sürekli erişim izni veriyor; çalınan tokenler saldırgana aynı erişimi sağlayarak yapay zekanın ötesine geçiyor. Blackpoint, hasarın ihlal edilen sunucuyla sınırlı kalmadığını, tek bir atlatmanın bulut platformlarına, kod depolarına, yapay zeka araçlarına ve müşteri ortamlarına giden bir yol haline geldiğini vurguladı. Yöneticili hizmet sağlayıcıları (MSP'ler) için tek bir açık sunucu, tüm alt müşterileri etkileyebilir.

Uzmanların Görüşleri

SimpleHelp, açığı Mayıs sonunda 5.5.16 ve 6.0 RC2 sürümlerinde yamaladı. Blackpoint'in bulgularını yayınlamasının ardından 29 Haziran'da CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'leri güncelleme yapmaya, SimpleHelp'i internetten çekmeye ve açığa çıkmış tüm sırları döndürmeye çağırdı; uç nokta temizlendikten sonra bile kimlik bilgilerinin ele geçirilmiş sayılması gerektiğini belirtti. Bulgular, daha önce belgelenmemiş iki kötü amaçlı yazılım ailesinin yer aldığı tek bir sınırlı saldırıdan geliyor.

Bu olay, RMM yazılımlarının güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. MSP'ler, müşterilerine hizmet verirken kullandıkları araçların kendilerini hedef alabileceğini unutmamalı. SimpleHelp kullanıcılarının derhal güncelleme yapması, ağlarında anormal aktivite olup olmadığını kontrol etmesi ve tüm API anahtarları ile tokenleri yenilemesi öneriliyor. Ayrıca, RMM sunucularının doğrudan internete açık olmaması ve güçlü erişim kontrolleriyle korunması gerekiyor.

Kaynak: infosecurity-magazine.com

Paylaş: