SonicWall Güvenlik İhlali ve Müşteri Önerileri
SonicWall, müşterilerine önemli bir çağrıda bulunarak, güvenlik ihlalinin ardından kimlik bilgilerini sıfırlamalarını önerdi. Geçtiğimiz günlerde, firmanın firewall konfigürasyon yedek dosyalarının, MySonicWall hesaplarının etkilendiği bir güvenlik ihlali sırasında açık hale geldiği tespit edildi. Şirket, bulut ortamındaki yedekleme hizmetinde şüpheli faaliyetler olduğunu belirledi ve yapılan incelemeler sonucunda, bilinmeyen tehdit aktörlerinin, müşterilerinin sadece %5’ine ait yedek dosyalara eriştiğini ortaya koydu.
Çalışmaların İzlenmesi
SonicWall, dosyaların içindeki kimlik bilgilerinin şifreli olduğunu belirtmesine rağmen, bu dosyaların, ilgili firewall’ları istismar etmek için saldırganların işini kolaylaştırabilecek bazı bilgiler içerdiği de vurgulandı. Şirket, bu ihlalin ransomware (fidye yazılımı) saldırısı olmadığını ve asıl amacın yedek dosyalara erişim sağlamaya yönelik çok sayıda brute-force (kaba kuvvet) saldırısı gerçekleştirmek olduğunun altını çizdi. Hangi grubun bu saldırıyı gerçekleştirdiği ise henüz bilinmiyor.
İhlal Sonrasında Alınması Gereken Önlemler
Olayın sonuçları itibarıyla SonicWall, müşterilerine aşağıdaki adımları izlemelerini önerdi:
- MySonicWall.com adresine giriş yaparak bulut yedeklerinin etkin olup olmadığını kontrol edin.
- Etkilenen seri numaralarının hesaplarda işaretlenip işaretlenmediğini doğrulayın.
- WAN üzerinden hizmetlere erişimi sınırlandırarak, HTTP/HTTPS/SSH Yönetimini kapatın, SSL VPN ve IPSec VPN erişimini devre dışı bırakın, firewall üzerindeki şifreleri ve TOTP’leri sıfırlayın ve alışılmadık bir faaliyet olup olmadığını kontrol etmek için kayıtları ve son konfigürasyon değişikliklerini gözden geçirin.
Yeni Tercih Dosyası İthalatı
Etkilenen müşterilere, SonicWall tarafından sağlanan yeni tercih dosyalarını firewall’larına import etmeleri tavsiye edildi. Bu yeni dosya, aşağıdaki gibi değişiklikleri içermektedir:
- Tüm yerel kullanıcılar için rastgele şifre
- TOTP bağlama sıfırlaması (aktif ise)
- Rastgele IPSec VPN anahtarları
SonicWall, sağlanan değişikliklerin en güncel yedek dosyalarından oluşturulduğunu belirtti; mevcuttaki tercih dosyasının istenilen ayarları yansıtmadığı durumlarda kullanılmaması önerildi.
Akira Fidye Yazılımı Grubu ve Hedefler
Bu açıklama, Akira fidye yazılım grubuna ait tehdit aktörlerinin yamanmamış SonicWall cihazlarını hedeflemeye devam etmesi ile aynı zamana denk geliyor. Geçmişte, bu gruptan gelen saldırılar, CVE-2024-40766 isimli eski bir güvenlik açığını istismar ederek ağlara giriş sağlamaya yönelikti; bu açığın CVSS skorunun 9.3 olduğu belirtiliyor.
Hafta içinde, siber güvenlik şirketi Huntress, Akira fidye yazılımı ile ilgili bir olayı detaylandırdı. Bu olayda, saldırganlar SonicWall VPN‘lerini istismar ederek, güvenlik yazılımının kurtarma kodlarını içeren düz metin dosyası kullanarak çok faktörlü kimlik doğrulamasını (MFA) geçmeyi başardılar. Araştırmacılar Michael Elford ve Chad Hudson, saldırganın, Huntress portalına giriş yaparak aktif uyarıları kapatıp, Huntress EDR ajanlarının kaldırılmasını başlatarak, kuruluşun savunmalarını etkisiz hale getirdiğini belirtti.
Sensitivite ve Güvenlik
Bu tür bir erişim seviyesi, savunmaları devre dışı bırakmak, tespit araçlarını manipulate etmek ve daha fazla kötü niyetli eylem gerçekleştirmek için silah haline getirilebilir. Kuruluşlar, kurtarma kodlarını ayrıcalıklı hesap şifreleri gibi yüksek bir hassasiyetle ele almalıdır.
SonicWall’un bu güvenlik ihlalinden hareketle yaptığı uyarılar ve öneriler, siber güvenlikte alınacak tedbirlerin ne denli önemli olduğunu bir kez daha gözler önüne seriyor. Özelikle bulut yedekleme hizmetlerine sahip kullanıcıların, bu ihlalden ders çıkararak gerekli önlemleri almaları büyük bir önem taşıyor.
