Giriş
SonicWall, kullanıcılarını etkileyen iki kritik SMA1000 güvenlik açığını, CVE-2026-15409 ve CVE-2026-15410, sıfırıncı gün saldırılarıyla istismar edildiği konusunda uyarıyor. Bu durum, siber güvenlik açısından ciddi bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
CVE-2026-15409, SMA1000 cihazlarının İş Yeri arayüzünde kritik bir sunucu tarafı istek sahtekarlığı (SSRF) açığıdır ve uzaktan, kimlik doğrulaması yapılmamış bir saldırganın cihazın istekleri istenmeyen lokasyonlara yönlendirmesine izin verir. Bu açığın CVSS puanı 10.0 olarak belirlenmiştir.
CVE-2026-15410 ise, SMA1000 Yönetim Konsolu’ndaki yüksek önem seviyesine sahip (CVSS 7.2) bir kod enjekte etme zayıflığıdır. Bu açık, uzaktan yetkilendirilmiş bir yönetici tarafından işletim sistemi üzerinde rasgele komutların yürütülmesine olanak sağlar.
Etkilenen Sistemler
Aşağıdaki SMA1000 modelleri ve versiyon numaraları etkilenmektedir:
- Modeller: 6210, 7210, 8200v
- Versiyonlar: 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624, 12.5.0-02800
İyileştirmeler, platform-hızlı düzeltme sürümleri olan 12.4.3-03453 ve 12.5.0-02835 ile sonra gelen sürümlerde mevcuttur. SonicWall, bu açığın SSL-VPN’in SonicWall güvenlik duvarlarında veya SMA 100 Serisi ürün hattında etkili olmadığını belirtmektedir.
Çözüm ve Korunma
SonicWall, açığın aktif olarak istismar edildiğini doğrulamış ve kullanıcıları hızlı bir şekilde güncelleme yapmaya davet etmiştir. Yönetim, aşağıdaki yeterlilikleri kullanarak cihazların ele geçirilip geçirilmediğini belirlemenizi önermektedir:
- extraweb_access.log dosyasında /__api__/login veya /__api__/logout için HTTP 200 durumu ile isteklerin varlığı
- extraweb_access.log dosyasında wsproxy için şüpheli host parametreleri ile 101 HTTP durum kodlu istekler
- ctrl-service.log içinde yol geçişi isimleri ile birlikte sıcak düzeltme geri alma işlemleri
- /var/lib/unit/conf.json dosyasında geçersiz yapılandırmalara sahip /__api__/login veya /__api__/logout için rotaların bulunması
Eğer cihazınıza bu açıkların istismar edildiğini düşünüyorsanız, SonicWall, aşağıdaki adımları atmanızı tavsiye ediyor:
1. Fiziksel cihazları tekrar imajlayın veya sanal cihazları yeniden dağıtın.
2. Tüm kullanıcı ve yönetici parolalarını değiştirin.
3. TOTP (Zaman Temelli Tek Kullanımlık Parola) token’larını sıfırlayın.
SonicWall, bu zafiyetler için başka bir alternatif veya önlem olmadığını, sadece hızlı düzeltme paketlerinin kurulmasını tavsiye etmektedir.
Son olarak, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bu iki açığı Bilinen İstismar Edilen Zayıflıklar (KEV) kataloğuna eklemiş, bu da onların saldırılarda aktif olarak kullanıldığını teyit etmektedir.
Sonuç
Tüm etkilenen kullanıcıların, SonicWall’un sağladığı güncellemeleri derhal yüklemeleri gerekmektedir. Daha fazla güvenlik için ağdaki açıktan korunun; güvenlik duvarlarınızı ve VPN yapılandırmalarınızı gözden geçirin.


