BeyondTrust, Remote Support (RS) ve Privileged Remote Access (PRA) ürünlerinde dört güvenlik açığı tespit ettiğini duyurdu. Bu açıklar arasında, CVSS 9.2 puanına sahip iki kritik öneme sahip ön kimlik doğrulama atlama açığı bulunuyor. Şirket, kendi sunucularını kullanan müşterilerini hemen güncelleme yapmaları konusunda uyardı. Aksi takdirde, yetkisiz saldırganların, işletmelerinin yönettiği her sisteme yönetici kontrolü sağlaması riskiyle karşı karşıya kalacaklar. Bulut tabanlı müşteriler ise 21 Nisan 2026 tarihinde sessiz bir güncelleme ile korunmuş durumda.
Güvenlik Açıkları ve Etkileri
Bu güvenlik açıklarının aciliyeti, yalnızca bu açıklarla sınırlı değil; aynı zamanda bir PAM (Privileged Access Management) platformunun ne kadar kritik bir yapı taşı olduğuyla da ilgili. BeyondTrust RS ve PRA, bir organizasyonun güven hiyerarşisinin zirvesinde yer alıyor. Bu ürünler, kimlik bilgilerini saklamakta, ayrıcalıklı oturumları yönetmekte, yönetici faaliyetlerini kaydetmekte ve her bir sistemin güvenli bir şekilde erişimini sağlamaktadır. Bir web uygulamasında CVSS 9.2 puanına sahip bir ön kimlik doğrulama atlama açığı ciddi bir sorun teşkil ederken, bir PAM geçidindeki aynı açık, yönetilen her sistemin güvenini devraldığı için çok daha büyük bir tehlike arz ediyor. Yani, başarılı bir saldırı, saldırgana yalnızca bir sisteme değil, tüm sistemlere erişim sağlıyor.
BeyondTrust'un BT26-03 numaralı duyurusunda, RS ve PRA'nın 25.3.2 ve daha önceki sürümlerini etkileyen dört güvenlik açığı listelenmiştir. Bunlardan ilki, CVE-2026-40138 (CVSS 9.2), kimlik doğrulama verilerinin yanlış doğrulanmasından kaynaklanıyor. Ağda konumlanmış bir saldırgan, geçerli kimlik bilgileri olmadan erişim kontrollerini atlayarak, cihazın yönetici hesaplarına bile yetkisiz erişim sağlayabiliyor. Bu açık, daha yüksek bir saldırı karmaşıklığı gerektiriyor ve bu nedenle yalnızca ağda konumlanmış bir saldırganın erişim sağlaması mümkün.
İkinci açık olan CVE-2026-40139 (CVSS 9.2), özellikle BeyondTrust Remote Support'ta kimlik doğrulama taleplerinin yanlış işlenmesinden kaynaklanıyor. Bu açık, daha doğrudan bir şekilde istismar edilebiliyor; yetkisiz bir uzaktan saldırgan, kimlik doğrulama sürecini tamamen atlayabiliyor. Bu durumda, ağ konumlandırması gerekmiyor, yalnızca cihazın erişilebilir olması yeterli.
PAM Platformlarının Önemi
Her iki açık da, hedef cihazda belirli bir kimlik doğrulama yapılandırmasının etkinleştirilmesini gerektiriyor. BeyondTrust, hangi yapılandırmanın bu durumu tetiklediğini açıklamamış, bu da saldırganların bilgi edinimini sınırlamak amacıyla standart bir önlem olarak görülüyor. Kendi dağıtımının etkilenen yapılandırmayı kullanmadığını doğrulayamayan organizasyonların, sistemlerini potansiyel olarak savunmasız olarak değerlendirmeleri ve hemen güncellemeleri gerekiyor.
CVE-2026-40140 (CVSS 8.7) ise, ağ iletişim alt sisteminde bir hizmet reddi (DoS) açığıdır ve yetkisiz bir saldırgan tarafından yetersiz girdi doğrulaması yoluyla istismar edilebilir. Bu açık, cihazın kullanılabilirliğini devre dışı bırakabilir ve bu da BeyondTrust'a güvenen herhangi bir organizasyon için önemli bir ikincil risk oluşturur. CVE-2026-40141 (CVSS 8.5) ise, sınırlı yetkilere sahip bir kimlik doğrulama yapılmış saldırganın, bir web uygulaması bileşeninde yetki aşımına neden olmasına olanak tanır. Bu açığın istismarı, belirli izinlere sahip hesaplarla sınırlıdır.
Tüm bu dört açık, RS 25.3.3 ve PRA 25.3.3 sürümlerinde ve daha sonraki sürümlerde kapatılmıştır. BeyondTrust, duyurusunda bu dört açığın, devam eden güvenlik değerlendirmeleri sırasında içsel olarak tespit edildiğini ve kamuya açık yapay zeka modellerinin yardımıyla belirlendiğini belirtmiştir. Özellikle, Anthropic'in Claude Opus 4.8 modelinin adı geçmektedir. Bu durum, yalnızca başlık düzeyindeki yamanın ötesinde bir öneme sahiptir. Önceki kritik güvenlik açığı olan CVE-2026-1731, Ocak 2026'da Hacktron AI tarafından tespit edilmiştir ve araştırma ekibi bunu "AI destekli varyant analizi" olarak adlandırmıştır. Bu tür bir yapay zeka destekli araçların, kritik öneme sahip ön kimlik doğrulama açıklarını hızlı bir şekilde bulması, hem savunma hem de saldırı tarafında bir olgunlaşma sürecini yansıtmaktadır.
Gelecek Beklentileri
CVSS 9.2 puanına sahip güvenlik açıkları, genellikle acil yamanmayı gerektirir. Ancak bir PAM geçidindeki ön kimlik doğrulama atlama açığı, acil bir yanıt gerektiren bir durumdur. Bunun nedeni, mimari yapıdır. PAM platformları, temelde güvenilir olmaları için tasarlanmıştır. Yönetilen her sistemden bu güveni alırlar; çünkü bu ürünlerin amacı budur. Yetkisiz bir saldırgan, bu platformda kimlik doğrulamasını atladığında, yalnızca bir sistemi tehlikeye atmaz. Tüm sistemler üzerinde yönetici pozisyonunu devralır.
Orca Security, daha önceki analizlerinde BeyondTrust'ın tehlikeye girmesiyle ilgili olarak şunları belirtmiştir: "Bir PRA cihazının ele geçirilmesi, saldırganlara kimlik bilgisi kasasına, oturum kayıtlarına ve cihazın yönettiği her sisteme doğrudan erişim sağlar." VulnCheck'ten Caitlin Condon, bu ürünlerin sürekli olarak tehdit aktörlerinin hedefinde olmasının yapısal nedenini şöyle tanımlıyor: "Savunmasız ürünler, uzaktan erişimi sağlamak için tasarlanmıştır, bu da onları hem devlet destekli saldırganlar hem de finansal motivasyonlu gruplar için cazip bir saldırı hedefi haline getirir."
CVE-2026-40138 ve CVE-2026-40139 için onaylanmış bir istismar olmaması, kendi sunucularını kullanan yöneticiler için aciliyeti azaltmaz. BeyondTrust'ın önceki açıklama kalıpları, iç keşif ile sahada istismar arasında tutarlı bir boşluk olduğunu göstermektedir; ancak bu boşluk, CVE-2026-1731 durumunda sadece dört gün kadar kısa olmuştur. BeyondTrust RS ve PRA, son 18 ayda üç belgelenmiş olay kümesinde karmaşık tehdit aktörleri tarafından hedef alınmıştır. Bu nedenle, bugünkü duyuru, izole bir açıklama değil, devam eden bir hikayenin parçasıdır.


