SimpleHelp adlı uzaktan destek yazılımında keşfedilen kritik bir güvenlik açığı, saldırganlar tarafından aktif olarak sömürülüyor. Bu açık, daha önce bilinmeyen kötü amaçlı yazılım türlerini hedef sistemlere bulaştırmak için kullanılıyor. BlackPoint tarafından Pazartesi günü yayınlanan rapora göre, bu saldırılar özellikle bulut platformları, paket kayıtları ve yapay zeka geliştirme asistanlarında kullanılan son derece hassas kimlik bilgilerini çalmayı hedefliyor.
CVE-2024-48558 olarak izlenen güvenlik açığı, OpenID Connect (OIDC) kimlik doğrulama protokolünde bir kimlik doğrulama atlatma zafiyeti olarak tanımlanıyor. Horizon3.ai tarafından bu ayın başlarında yayınlanan bir raporda, OIDC yapılandırıldığında saldırganların sahte bir token kullanarak tamamen doğrulanmış bir 'teknisyen' oturumu elde edebildikleri belirtildi. Bu sayede saldırganlar, ayrıcalıklı yönetim faaliyetleri gerçekleştirebiliyor.
BlackPoint'in raporu, bu güvenlik açığının fiilen sömürüldüğü bir olayı detaylandırıyor. Saldırganlar, TaskWeaver adı verilen yoğun şekilde gizlenmiş bir Node.js yükleyici ve ardından Windows, macOS ve Linux sistemlerinde çalışan ikinci aşama bir kötü amaçlı yazılım olan Djinn Stealer'ı kullandı. TaskWeaver, hedef sistemi tarayarak saldırganların kontrolündeki altyapı ile şifreli iletişim kurarken, Djinn Stealer ise bulut platformları, paket kayıtları ve AI geliştirme asistanlarına ait kimlik bilgilerini çaldı.
Detaylar ve Etkileri
Bu kritik güvenlik açığı, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Pazartesi günü Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklendi. SimpleHelp kullanıcılarının, yazılımlarını en son sürüme güncellemeleri ve OIDC yapılandırmalarını gözden geçirmeleri önemle tavsiye ediliyor. Ayrıca, ağlarında şüpheli aktiviteleri tespit etmek için güvenlik önlemlerinin artırılması gerekiyor.