Giriş
Son zamanlarda, BeyondTrust Remote Support (RS) ve Privileged Remote Access (PRA) ürünlerini etkileyen kritik bir güvenlik açığının siber saldırganlar tarafından istismar edildiği gözlemlenmiştir. Bu durum, birçok sektörde büyük bir tehdit oluşturmakta ve siber güvenliğin önemini bir kez daha gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-1731 (CVSS puanı: 9.9) olarak izlenmektedir ve saldırganların site kullanıcısının bağlamında işletim sistemi komutları yürütmesine olanak tanımaktadır. Palo Alto Networks Unit 42 tarafından yayımlanan bir rapora göre, bu güvenlik açığı aktif olarak kullanılmakta ve şu şekilde kötüye kullanılmaktadır:
- Ağ keşfi ve web shell dağıtımı,
- Komut ve kontrol (C2) yöntemleri,
- Arka kapı ve uzaktan yönetim araçları kurulumları,
- Yan hareketler ve veri çalınması.
Şu anki saldırı kapsamı, çok çeşitli teknikleri içermekte olup bunlar arasında komut dosyaları aracılığıyla yönetim hesabına erişim sağlama ve birden fazla web shell yüklemesi gibi adımlar yer almaktadır.
Etkilenen Sistemler
Bu kampanya, aşağıdaki sektörleri hedef almıştır:
- Finansal hizmetler,
- Hukuk hizmetleri,
- Yüksek teknoloji,
- Yüksek eğitim,
- Perakende ve toptan satış,
- Sağlık hizmetleri.
Saldırılar, ABD, Fransa, Almanya, Avustralya ve Kanada gibi ülkelerde aktif olarak gerçekleşmektedir.
Teknik Detaylar
Güvenlik açığı, “thin-scc-wrapper” adında bir betiğin sanitizasyon hatası nedeniyle ortaya çıkmaktadır. Bu betik, WebSocket arayüzüyle erişilebilir ve saldırganların rastgele shell komutları enjekte etmesine izin vermektedir. Söz konusu durumda, birincil kullanıcı hesabının ele geçirilmesi, saldırganın cihazın yapılandırmasına, yönetilen oturumlara ve ağ trafiğine kontrol sağlamasına olanak tanımaktadır.
Çözüm ve Korunma
Saldırılara karşı koruma sağlamak için aşağıdaki önlemler alınmalıdır:
- Ürünlerinizi güncelleyin ve CVE-2026-1731 ile ilgili yamanın en son versiyonunu uygulayın.
- WebSocket arayüzlerini kapatın veya koruma sağlayacak şekilde yapılandırın.
- İzleme sistemlerinizi geliştirin ve istenmeyen aktiviteleri tanıyacak şekilde ayarlayın.
Ayrıca, mevcut sürüm güncellemelerini sürekli takip etmek de son derece önemlidir.
Sonuç
Okuyucularımıza, hemen güvenlik yamalarını uygulamaları, WebSocket bağlantılarını gözden geçirmeleri ve sistemlerini izleme mekanizmaları ile güçlendirmeleri konusunda tavsiyede bulunuyoruz. Güvenlik açıklarına karşı daha dikkatli olmak, siber güvenlik tehditlerine karşı koymanın en etkili yoludur.
