2026 yılının başlarında, BeyondTrust’un Remote Support (RS) ve bazı eski Privileged Remote Access (PRA) sürümlerinde kritik bir öncesiz kimlik doğrulama uzak kod çalıştırma açığı keşfedildi. CVE-2026-1731 olarak tanımlanan bu zafiyet, kimlik doğrulaması yapılmamış bir saldırganın özel olarak hazırlanmış istekler aracılığıyla hedef sistemde işletim sistemi komutları çalıştırmasına olanak sağlıyor. Bu durum, yetkisiz erişim, veri sızıntısı ve hizmet kesintisi gibi ciddi güvenlik ihlallerine yol açabilir.
Hangi Sistemler Risk Altında?
Bu güvenlik açığı, Remote Support sürümleri 25.3.1 ve öncesi ile Privileged Remote Access sürümleri 24.3.4 ve öncesini etkiliyor. Sorunun giderildiği yamalar ise Remote Support için BT26-02-RS (25.3.2 ve sonrası) ve Privileged Remote Access için BT26-02-PRA (25.1.1 ve sonrası) sürümlerinde bulunuyor. Özellikle otomatik güncelleme aboneliği olmayan kendi sunucularında barındırılan müşterilerin yamaları manuel olarak uygulaması gerekiyor. Daha eski sürümler kullananların ise önce güncelleme yapmaları tavsiye ediliyor.
Saldırı Zinciri ve Teknik Detaylar
Güvenlik araştırmacısı Harsh Jaiswal tarafından yapay zeka destekli varyant analiziyle 31 Ocak 2026’da keşfedilen bu açık, internet üzerinde yaklaşık 11.000 örnekle yaygın bir risk oluşturuyor. Bunların yaklaşık 8.500’ü kurum içi dağıtımlarda bulunuyor ve yamalar uygulanmadığı sürece savunmasız kalmaya devam ediyor. Saldırı zinciri, kimlik doğrulaması gerektirmeyen özel HTTP isteklerinin gönderilmesiyle başlıyor ve işletim sistemi komut enjeksiyonu ile devam ediyor. Bu tür zafiyetler, MITRE ATT&CK matrisinde T1203 (Exploitation for Client Execution) ve T1059 (Command and Scripting Interpreter) tekniklerine karşılık geliyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- İlgili BeyondTrust ürünlerinin sürümlerini kontrol edin ve BT26-02-RS veya BT26-02-PRA yamalarını derhal uygulayın.
- Otomatik güncelleme aboneliği olmayan sistemlerde yamaların manuel olarak uygulanmasını sağlayın.
- EDR ve SIEM çözümlerinizde CVE-2026-1731 ile ilişkili anormal komut çalıştırma ve kimlik doğrulama atlama girişimlerini izlemek için özel kurallar oluşturun.
- Ağ segmentasyonu ile kritik yönetim sistemlerini izole edin ve sadece yetkili IP adreslerinden erişime izin verin.
- Uzaktan erişim araçlarında çok faktörlü kimlik doğrulama (MFA) uygulayarak yetkisiz erişim riskini azaltın.
- Olay müdahale planlarınızı güncelleyerek bu tür öncesiz kimlik doğrulama zafiyetlerine karşı hızlı aksiyon alınmasını sağlayın.
- Loglama seviyesini artırarak, özellikle kimlik doğrulama ve komut çalıştırma olaylarını detaylı şekilde kaydedin.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, bir finans kurumunda kullanılan BeyondTrust Remote Support sistemi, saldırgan tarafından kimlik doğrulaması atlanarak ele geçirilebilir. Bu durumda, saldırgan kurumun kritik sunucularında komutlar çalıştırarak veri sızıntısı veya sistem kesintisi yaratabilir. Bu tür bir saldırı, kurumun operasyonel sürekliliğini tehdit ederken, KVKK ve diğer regülasyonlar kapsamında ciddi yasal sonuçlara yol açabilir.
Sonuç olarak, bu tür kritik zafiyetler, sadece yamaların uygulanmasıyla değil, aynı zamanda kapsamlı bir erişim yönetimi, ağ segmentasyonu ve olay müdahale stratejileriyle etkin şekilde kontrol altına alınabilir. Siber güvenlik ekiplerinin bu açığı öncelikli olarak ele alması ve ilgili güvenlik önlemlerini derhal hayata geçirmesi gerekmektedir.