160 ülkede 180.000’den fazla kuruluş tarafından bilgisayarlarını yönetmek için kullanılan bir araç olan JumpCloud Remote Assist for Windows aracısında büyük bir güvenlik sorunu bulundu. Bu sorun, bir şirket makinesindeki normal bir kullanıcının söz konusu cihazın tam ve kalıcı kontrolünü ele almasına olanak tanıyabilir.
CVE-2025-34352 olarak takip edilen kritik güvenlik açığı, XM Cyber firmasındaki güvenlik araştırmacısı Hillel Pinto tarafından bulundu. CVSS v4.0 puanı 10 üzerinden 8,5 olan Yüksek önem derecesi verilmiştir.
Yüksek Riskli Güvenlik Açığı Açıklaması
Sorun, Remote Assist aracısının kendisini bilgisayardan nasıl kaldırdığıdır. Ana JumpCloud Aracısı kaldırıldığında, bu temizleme işlemini bir Windows makinesinde mevcut olan en yüksek ayrıcalıklarla, NT AUTHORITY\SYSTEM ile çalıştırır. Bildiğimiz gibi bu izinlerle çalışan bir program, bilgisayar üzerinde tam ve sınırsız bir kontrole sahiptir.
Yine Hillel Pinto’nun yazdığı XM Cyber’in araştırma bloguna göre, ajan, kullanıcının geçici klasörüne dosya yazma veya silme gibi dosya işlemlerini gerçekleştirerek kritik bir hata yapıyor. Bu klasör, makinedeki standart, düşük ayrıcalıklı bir kullanıcının kontrol edebileceği bir konumdur.
Ajan Saldırganın Aracı Oluyor
Araştırmacılar, kusurun güvenlik aracının kendisini saldırı için bir ağ geçidi haline getirdiğini belirtti. Güvenliği ihlal edilmiş makinedeki sıradan bir kullanıcı, yüksek ayrıcalıklı kaldırma işlemini kendi geçici dosyaları yerine hassas sistem dosyalarını silmesi veya üzerine yazması için kandırabilir.
Bu güvenlik açığından anında yararlanılabilir; bu, kötü niyetli bir yerel kullanıcının anında iki sonuçtan birini elde edebileceği anlamına gelir:
- Yerel Ayrıcalık Yükseltmesi (LPE): Uç noktaya en yüksek düzeyde erişim (SİSTEM) elde etme. Pinto, bu ajana yönelik bir istismarın doğrudan “son nokta üzerinde tam ve kalıcı kontrol” anlamına geldiğini belirtti.
- Hizmet Reddi (arasında): Makinenin tamamen çökmesine neden olur.
Acil Güncelleme Gerekli
Güvenlik açığı, araştırmacıların “bilinen güvenlik açığı” olarak adlandırdığı, ayrıcalıklı bir işlemin kullanıcı tarafından kontrol edilen bir dizinle etkileşime girmesinden kaynaklanıyor.
Bu kusuru bulduktan sonra Pinto ve ekibi sorumlu bir açıklama süreci izledi ve JumpCloud’u bilgilendirdi. Yanıt olarak şirket bulguları doğruladı ve o zamandan beri bir düzeltme yayınladı. Düzeltme, ayrıcalıklı işlemin kullanıcı tarafından denetlenen klasörlerdeki dosyaları işleme biçimini düzelterek ana sorunu giderir. Etkilenen yazılımı kullanan tüm kuruluşların, sorunu düzeltmek için derhal 0.317.0 veya sonraki bir sürüme güncelleme yapması önerilir.
Özel Yorum
Saviynt Güven Sorumlusu Jim Routh, bu güvenlik açığı keşfiyle ilgili olarak Hackread.com ile şu yorumu paylaştı: “Bu güvenlik açığı tehdit aktörleri için ‘göz alıcı’ çünkü 180.000’den fazla kuruluşu kapsayan MS Windows cihazları üzerinde geniş ölçekte ayrıcalıklı erişim elde etmeye yönelik bir yaklaşım sunuyor.”
Routh, iş dünyası için şunları tavsiye etti: “Şirketlerin, ayrıcalıklı kullanıcı yönetimi (PAM) sistemi yeteneklerini, gerçek zamanlı olarak çalışan yerleşik bir modelle karşılaştırıldığında, etkinliğin sürekli doğrulanmasını içerecek şekilde şifre kasasının ötesine yükseltme fırsatı var.
“Sürekli doğrulama yetenekleri bugün ürün olarak oluşturulabilir veya satın alınabilir. Çoğu PAM sağlayıcısı henüz sürekli doğrulama sunmamaktadır, ancak yakın gelecekte sunacaktır. Olgun bir PAM yeteneği, bu tehdit taktiğinin ve güvenlik açığının bir kuruluş üzerinde önemli bir etkiye sahip olma riskini azaltacaktır” diye vurguladı.