Giriş
Son dönemde, BeyondTrust Remote Support (RS) ve Privileged Remote Access (PRA) ürünlerini etkileyen kritik bir güvenlik açığının, kötü niyetli aktörler tarafından kullanılmaya başlandığı bildirilmektedir. Bu açık, uzaktan kod çalıştırma yetkisi vererek yetkisiz erişim ve veri sızıntısı gibi ciddi sonuçlara neden olabilmektedir.
Saldırı Nasıl Çalışıyor?
Açık, CVE-2026-1731 (CVSS puanı: 9.9) olarak tanımlanmıştır ve doğrulanmamış bir saldırganın özel olarak hazırlanmış istekler göndererek uzaktan kod çalıştırmasına olanak tanımaktadır. Saldırganlar, get_portal_info işlevini kullanarak x-ns-company değerini dışarı çıkararak bir WebSocket kanalı kurmadan önce bu bilgiyi ele geçirmektedir.
Etkilenen Sistemler
Aşağıda açık ile etkilenen sistemler belirtilmektedir:
- Remote Support – Yaman BT26-02-RS, 25.3.2 ve sonrası
- Privileged Remote Access – Yaman BT26-02-PRA, 25.1.1 ve sonrası
BeyondTrust, açık etkili bir şekilde kullanıldığında, otomatik sistem komutlarının kullanıcı bağlamında çalıştırılmasına ve dolayısıyla yetkisiz erişim, veri sızıntısı ve hizmet kesintisine neden olabileceğini belirtmiştir.
Çözüm ve Korunma
Bu güvenlik açığını bertaraf etmek için aşağıdaki adımların atılması önerilmektedir:
- İlgili yazılımları güncelleyiniz ve belirtilen sürümlere geçiş yapınız.
- Güvenlik duvarı ve ağ ayarlarını gözden geçirerek gerekli izinleri sınırlandırınız.
- Ürünlerinizi düzenli olarak izleyin ve olası anormalliklere karşı uyanık olun.
Ayrıca, CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) son zamanlarda, aktif olarak istismar edilen dört güvenlik açığını Keşfedilmiş Bilinen Açıklar (KEV) listesine eklemiştir. Bunlar:
- CVE-2026-20700 (CVSS puanı: 7.8) – Apple iOS ve diğer platformlarda bellek sınırları içinde işlev kısıtlaması açığı.
- CVE-2025-15556 (CVSS puanı: 7.7) – Notepad++’da kod indirme açıkları.
- CVE-2025-40536 (CVSS puanı: 8.1) – SolarWinds Web Yardım Masası’ndaki güvenlik kontrolü atlatma açığı.
- CVE-2024-43468 (CVSS puanı: 9.8) – Microsoft Configuration Manager’daki SQL enjeksiyon açığı.
Yukarıdaki açıkların acil olarak ele alınması ve güncellemelerin yapılması kritik önem taşımaktadır. Federal sivil yürütme kurumu, CVE-2025-40536 için 15 Şubat 2026’ya kadar, diğer üç açık için ise 5 Mart 2026’ya kadar düzeltici adımlar atmalıdır.
Aksiyon
Okuyucular, yukarıda belirtilen açıklarla ilgili gerekli güncellemeleri derhal gerçekleştirmeli ve sistemlerini etkili bir şekilde koruma altına almak için gerekli önlemleri almalıdır. Güvenlik duvarlarını güçlendirmek, erişim izinlerini gözden geçirmek ve sürekli izleme yapmak, sizi bu tür tehditlere karşı daha güvenli hale getirecektir. Sisteminizi koruma altına almak için harekete geçin!
