SimpleHelp'in uzaktan izleme ve yönetim (RMM) yazılımındaki kritik kimlik doğrulama atlatma güvenlik açığı, saldırganlar tarafından daha önce görülmemiş iki kötü amaçlı yazılım ailesini yaymak için istismar edildi. Blackpoint Cyber güvenlik firmasının yaptığı analiz, saldırganların CVE-2026-48558 olarak izlenen bu açığı kullanarak internet üzerinden erişilebilen bir SimpleHelp sunucusunda güvenilir teknisyen oturumu elde ettiğini ortaya koydu. Saldırgan, platformun kendi araçlarını kullanarak TaskWeaver ve Djinn Stealer adını verdikleri kötü amaçlı yazılımları yaymayı başardı.
Güvenlik açığı, CVSS puanlama sistemine göre maksimum 10 puan alarak en kritik seviyede değerlendiriliyor. Etkilenen yapılandırmalarda SimpleHelp, OpenID Connect oturum açma işleminde kimlik tokenlerinin kriptografik imzasını kontrol etmiyordu. Bu durum, kimliği doğrulanmamış bir saldırganın sahte bir token oluşturarak teknisyen olarak sisteme giriş yapmasına olanak tanıyordu. Saldırgan, bir kimlik avı e-postası veya bağımsız bir istismar kullanmak yerine, SimpleHelp'in kendi dosya aktarımı ve uzaktan çalıştırma özelliklerini kötüye kullanarak bir jQuery kütüphanesi kılığına giren jquery.js dosyasını toplu olarak dağıttı.
Saldırganlar, geçici bir Cloudflare adresinden çektikleri bu dosyayı Node.js üzerinden çalıştırdı. Blackpoint firması, güvenilir destek kanalı sayesinde bu etkinliğin normal ağ trafiği içinde kolayca gizlenebildiğini belirtti. jquery.js dosyası aslında TaskWeaver olarak izlenen modüler bir Node.js yükleyiciydi ve statik analizden kaçacak şekilde tasarlanmıştı. Tek komutu olan 'deliver', işleç tarafından gönderilen herhangi bir kodu tam Node.js erişimiyle çalıştırarak bir anda bilgi hırsızı, sonra arka kapı veya fidye yazılımı indirebiliyordu.
Teknik Analiz
Kurtarılan ikinci yük olan Djinn Stealer, Windows, macOS ve Linux için çapraz platform bir bilgi hırsızıydı. Blackpoint'e göre bu kötü amaçlı yazılım, sistemdeki bulut ve altyapı anahtarlarını, kaynak kodlarını, SSH kimlik bilgilerini, kripto para cüzdanlarını ve paket kayıt defteri tokenlerini tarayarak çalıyordu. Özellikle dikkat çeken nokta, çoğu bilgi hırsızından daha ileri giderek yapay zeka kod yardımcılarının arkasındaki tokenleri de hedef almasıydı. Geliştiriciler genellikle bu yardımcılara kod, veritabanı ve bulut hesaplarına sürekli erişim izni verdiğinden, çalınan tokenler saldırganlara yapay zekanın ötesinde geniş bir erişim sağlıyordu.
Sistem Güvenliği
Blackpoint, hasarın yalnızca ihlal edilen sunucuyla sınırlı kalmadığı konusunda uyarıda bulundu. Tek bir kimlik doğrulama atlatma, bulut platformlarına, kod depolarına, yapay zeka araçlarına ve müşteri ortamlarına giden bir yol haline geldi. Çalınan kimlik bilgileri, uç nokta izole edildikten sonra bile bu erişimi canlı tutuyor. Özellikle yönetilen hizmet sağlayıcıları (MSP'ler) için, açıkta kalan tek bir sunucu tüm alt müşterileri etkileyebilecek bir zincirleme reaksiyon başlatabiliyor.
SimpleHelp, güvenlik açığını Mayıs ayı sonlarında 5.5.16 ve 6.0 RC2 sürümleriyle yamaladı. Blackpoint'in bulgularını yayınlamasının ardından 29 Haziran'da CISA, bu açığı Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Blackpoint, MSP'lere acilen yama yapmalarını, SimpleHelp sunucularını internetten çekmelerini ve açığa çıkan tüm sırları döndürmelerini, hatta uç nokta temizlendikten sonra bile kimlik bilgilerini ele geçirilmiş kabul etmelerini tavsiye ediyor. Bulgular, daha önce belgelenmemiş iki kötü amaçlı yazılım ailesinin kullanıldığı tek bir sınırlı saldırıdan elde edildi.
Kaynak: infosecurity-magazine.com