Giriş
SimpleHelp uzaktan yönetim yazılımında bulunan bir güvenlik açığı, kimlik doğrulama sürecinden geçmeyen saldırganların yetkili teknisyen hesapları oluşturmasına olanak tanımaktadır. Bu durum, hem güvenlik hem de yönetim açısından ciddi tehditler oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
OpenID Connect (OIDC) kimlik doğrulama protokolünü kullanan bu güvenlik açığı, CVE-2026-48558 olarak takip edilmektedir ve kritik bir derecelendirmeye sahiptir. SimpleHelp sürümleri 5.5.15 ve daha eski versiyonlar ile 6.0 ön sürümlerini etkilemektedir.
Horizon3.ai’deki güvenlik araştırmacıları, bu sorunun OIDC kimlik sağlayıcısından (IdP) alınan kimlik doğrulama taleplerinin nasıl doğrulandığıyla ilgili olduğunu açıklamaktadır. OIDC kimlik doğrulaması etkinleştirildiğinde, kimlik doğrulama sürecine geçmeden yeni bir teknisyen kullanıcısı oluşturulup giriş yapılabilmektedir. Bu teknisyen, varsayılan olarak yönetimsel ayrıcalıklara sahip olup, yönetilen uç noktalara uzaktan erişim sağlayabilmekte ve komut dosyalarını çalıştırabilmektedir.
Etkilenen Sistemler
CVE-2026-48558 her SimpleHelp sunucusunu etkilememektedir; yalnızca OIDC protokolüne bağlı olanları etkilemektedir. Araştırmacılara göre, bu tehdidin gerçekleşebilmesi için bazı ön koşullar gereklidir:
- OIDC kimlik doğrulaması etkin olmalıdır
- En az bir Teknisyen Grubu OIDC sağlayıcısıyla ilişkilendirilmelidir
- Grup için “Grup kimlik doğrulaması ile girişe izin ver” seçeneği etkin olmalıdır.
Shodan’dan elde edilen sonuçlar, yaklaşık 14,000 SimpleHelp sunucusunun internete açık durumda olduğunu göstermektedir. Rastgele bir örnek analizinde, bu sunucuların yaklaşık %7,2’sinin OIDC kimlik doğrulaması kullanacak şekilde yapılandırıldığı tespit edilmiştir. Ayrıca, Horizon3.ai, “Grup kimlik doğrulaması ile girişe izin ver” seçeneğinin birçok durumda etkin olduğunu bulmuştur.
Çözüm ve Korunma
Kurumlar, CVE-2026-48558 açığından kaynaklanan saldırılara karşı koymak için en son düzeltmeleri içeren 5.5.16 ve 6.0RC2 sürümlerine güncellemelerini yapmalıdır. Eğer güncelleme yapmak mümkün değilse, teknisyen giriş kaynaklarının IP tabanlı beyaz listelerle kısıtlanması bir alternatif olarak değerlendirilebilir.
Ayrıca araştırmalar, güvenlik ihlali durumlarında aktif istismarları tespit edebilmek için aşağıdaki gösterge bilgilerini paylaşmaktadır:
- Yeni kimlik doğrulama yapılmış teknisyen kullanıcıları, bilinmeyen veya şüpheli adlar ve/veya e-posta adresleri
- /opt/SimpleHelp/logs/server.log ve /opt/SimpleHelp/logs/
/server.log dosyalarında; teknisyen kayıtları, e-posta adresleri ve sahte hesaplar tarafından gerçekleştirilen yapılandırma değişiklikleri izlenmelidir.
Ne SimpleHelp ne de Horizon3.ai, aktif istismar bulguları bildirmemiştir. Ancak, ürünün geçmişte önemli tehdit aktörlerinin ilgisini çektiği göz önünde bulundurularak, organizasyonların mevcut düzeltmeleri veya önlemleri hızla uygulamaları tavsiye edilmektedir.
Sonuç
Bu kritik güvenlik açığı ile karşı karşıya kalan kullanıcıların, derhal SimpleHelp yazılımlarını güncellemeleri ve gerekli önlemleri almaları gerekmektedir. Portları kapatmak veya IP bazlı kısıtlamalar yapmak gibi alternatif güvenlik önlemlerini de değerlendirmek önemlidir.
