SimpleHelp RMM Yazılımındaki Kritik Açıkla İki Yeni Kötü Amaçlı Yazılım Yayılıyor Yazılım

SimpleHelp RMM Yazılımındaki Kritik Açıkla İki Yeni Kötü Amaçlı Yazılım Yayılıyor

SimpleHelp RMM yazılımındaki kritik açık (CVSS 10), saldırganların sahte token ile oturum açmasına ve iki yeni kötü amaçlı yazılımı yaymasına olanak t

SimpleHelp uzaktan yönetim (RMM) yazılımında keşfedilen kritik bir kimlik doğrulama atlatma açığı, saldırganlar tarafından daha önce bilinmeyen iki kötü amaçlı yazılım ailesini yaymak için kullanıldı. Blackpoint Cyber güvenlik firmasının analizine göre, CVE-2026-48558 olarak izlenen bu açık, saldırganların sahte bir oturum anahtarı (token) oluşturarak internete açık bir SimpleHelp sunucusunda yetkili teknisyen oturumu elde etmesine olanak tanıdı. Ardından saldırgan, platformun kendi dosya transferi ve uzaktan çalıştırma özelliklerini kullanarak TaskWeaver ve Djinn Stealer adlı kötü amaçlı yazılımları hedef ağa yaydı.

Açık, CVSS puanlama sisteminde maksimum 10 puan alarak kritik seviyede değerlendirildi. SimpleHelp, OpenID Connect oturum açma işleminde kimlik tokenlerinin kriptografik imzasını kontrol etmiyordu. Bu sayede kimliği doğrulanmamış bir saldırgan, sahte bir token oluşturup sisteme teknisyen olarak giriş yapabiliyordu. Saldırgan, herhangi bir kimlik avı e-postası veya bağımsız bir istismar kullanmak yerine, SimpleHelp'in meşru dosya transferi ve uzaktan çalıştırma özelliklerini kötüye kullanarak jQuery kütüphanesi gibi görünen gizlenmiş bir dosyayı (jquery.js) Cloudflare üzerinden geçici bir adresten çekti ve Node.js ile çalıştırdı. Blackpoint, güvenilir destek kanalının kullanılmasının bu etkinliğin normal trafik gibi görünmesini sağladığını belirtti.

jquery.js adlı dosya, statik analizden kaçmak için modüler bir Node.js yükleyicisi (loader) olarak tasarlanmıştı. Blackpoint'in TaskWeaver adını verdiği bu yükleyici, tek bir komut olan 'deliver' ile operatörün gönderdiği herhangi bir kodu tam Node.js erişimiyle çalıştırabiliyordu. Bu sayede anlık olarak bir bilgi hırsızı (stealer) veya arka kapı (backdoor) ya da fidye yazılımı (ransomware) bırakabiliyordu. Ele geçirilen yük ise Djinn Stealer idi: Windows, macOS ve Linux için çapraz platform bir bilgi hırsızı. Bu kötü amaçlı yazılım, bulut hizmetleri anahtarları, altyapı bilgileri, kaynak kodu, SSH kimlik bilgileri, kripto para cüzdanları ve tedarik zinciri saldırılarına yol açabilecek paket kayıt defteri tokenlerini hedef alıyordu.

Detaylar ve Etkileri

Djinn Stealer, diğer bilgi hırsızlarından farklı olarak yapay zeka kodlama asistanlarının tokenlerini de hedef aldı. Geliştiriciler genellikle bu asistanlara kod, veritabanı ve bulut hesaplarına sürekli erişim izni veriyor. Çalınan bu tokenler sayesinde saldırgan, AI asistanının erişebildiği tüm kaynaklara ulaşabiliyor. Bu, yalnızca uç noktanın ötesinde bir risk oluşturuyor: tek bir güvenlik açığı, bulut platformlarına, kod depolarına, AI araçlarına ve müşteri ortamlarına giden bir yol haline geliyor. Çalınan kimlik bilgileri, uç nokta izole edildikten sonra bile erişimi canlı tutabiliyor.

Uzmanların Görüşleri

Blackpoint, hasarın ihlal edilen sunucunun ömründen daha uzun sürdüğü konusunda uyardı. Özellikle yönetilen hizmet sağlayıcıları (MSP'ler) için tek bir açık sunucu, tüm alt müşterileri etkileyebilir. SimpleHelp, Mayıs sonunda 5.5.16 ve 6.0 RC2 sürümleriyle bu açığı yamaladı. Blackpoint'in bulgularını yayınlamasının ardından 29 Haziran'da ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.

Sonuç ve Değerlendirme

Blackpoint, MSP'lere acilen yama uygulamalarını, SimpleHelp sunucularını internetten çekmelerini ve açığa çıkmış olabilecek tüm sırları (şifreler, API anahtarları vb.) döndürmelerini tavsiye ediyor. Ayrıca, uç nokta temizlendikten sonra bile kimlik bilgilerinin tehlikeye atılmış olarak kabul edilmesi gerektiğini vurguluyor. Bulgular, tek bir kontrollü sızma olayına dayanıyor ve her iki kötü amaçlı yazılım ailesi de daha önce belgelenmemişti.

Kaynak: infosecurity-magazine.com

Paylaş: