Giriş
SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazlarda aktif bir şekilde istismar edilen iki zero-day güvenlik açığı olduğunu bildirdi. Bu açıklığın bir tanesi, uzaktan komut yürütme yeteneği sağlarken, diğeri de sunucu tarafı istek sahteciliği (SSRF) açığına işaret etmektedir.
Saldırı Nasıl Çalışıyor?
Aşağıda belirtilen güvenlik açıkları, kullanıcıların sistemlerine yönelik potansiyel saldırılara olanak tanımaktadır:
- CVE-2026-15409 (CVSS skoru: 10.0) – Uzaktan kimlik doğrulama gerektirmeyen bir saldırganın, cihazın istenmeyen bir yere istek göndermesine sebep olabilecek bir Sunucu Tarafı İstek Sahteciliği (SSRF) açığıdır.
- CVE-2026-15410 (CVSS skoru: 7.2) – Appliance Management Console (AMC) üzerinden kök kullanıcı olarak işletim sistemi komutları yürütme yeteneği sağlayan, kimlik doğrulama aşamasından sonra gerçekleşen bir kod enjekte etme açığıdır.
Etkilenen Sistemler
SonicWall, bu güvenlik açıklarını etkileyen mevcut versiyonlar hakkında bilgi vermektedir:
- 12.4.3-03453 (platform-hotfix) ve üzeri versiyonlar
- 12.5.0-02835 (platform-hotfix) ve üzeri versiyonlar
Çözüm ve Korunma
SonicWall, bu güvenlik açıklarının aktif bir şekilde istismar edildiğini bildirerek, kullanıcıların ivedilikle güncellemeleri uygulamasını önermektedir. Ek olarak, sistemdeki herhangi bir uzaktan erişim girişimini belirlemek amacıyla aşağıdaki adımlar izlenmelidir:
- extraweb_access.log dosyasında /__api__/login veya /__api__/logout ile ilgili http 200 durumu olan isteklerin araştırılması
- extraweb_access.log dosyasında /wsproxy ile birlikte şüpheli host parametreleri ile 101 http durumu olan isteklerin araştırılması
- ctrl-service.log dosyasında yol geçiş isimleri ile birlikte hotfix geri alma işlemlerinin kontrol edilmesi
- /var/lib/unit/conf.json dosyasındaki /__api__/login veya /__api__/logout için yolların kontrol edilmesi (bu URI’ler geçerli yapılandırmada mevcut değildir)
Eğer yukarıdaki indikatörlerden birine rastlanırsa, fiziksel cihazların yeniden yapılandırılması ya da sanal cihazların yeniden dağıtılması, kullanıcı ve yönetici parolalarının değiştirilmesi ve zaman-zaman kullanılan tek kullanımlık parola tokenlerinin sıfırlanması önerilmektedir.
Sonuç
SonicWall, güvenlik açıklarını keşfeden ve raporlayan ekip üyeleri ile Volexity’nin katkılarına da teşekkür etmektedir. Bu durum, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA), bu güvenlik açıklarını kayıtlı istismar edilen güvenlik açıkları kataloguna eklemesine neden oldu. Federal sivil idarelerin 17 Temmuz 2026 tarihine kadar ilgili güncellemeleri uygulamaları gerekmektedir. Kullanıcıların hemen güncellemeleri yapmaları, gereksiz riskleri azaltacaktır.


