SonicWall Sanal Özel Ağ (VPN) Cihazlarına Yönelik Saldırılar
Son günlerde SonicWall kullanıcılarını endişelendiren bir güvenlik durumu ortaya çıktı. Huntress, SonicWall SSL VPN cihazlarının geniş kapsamlı bir şekilde tehdit aktörleri tarafından ele geçirildiğini bildirdi. Bu durum, birçok müşteri ortamına erişim sağlamak için kullanılıyor. Huntress, “Tehdit aktörleri, ele geçirilen cihazlar aracılığıyla çok sayıda hesaba hızla giriş yapıyor,” dedi. Bu saldırıların hızı ve ölçeği, saldırganların geçerli kimlik bilgilerine sahip olduğunu ortaya koyuyor.
Saldırıların Başlangıcı ve Etkileri
Saldırılara dair önemli bir bölgenin 4 Ekim 2025’te başladığı belirtiliyor. Yapılan incelemelere göre, 16 ayrı müşteri hesabında 100’den fazla SonicWall SSL VPN hesabının etkilendiği tespit edildi. Bu cihazlardaki kimlik doğrulamalarının çoğunun 202.155.8[.]73 IP adresinden yapıldığı ifade ediliyor. Huntress, bazı durumlarda tehdit aktörlerinin ağa daha fazla düşmanca bir eylemde bulunmadığını, kısa bir süre sonra bağlantıyı kestiklerini vurguladı. Ancak, diğer vakalarda, saldırganların ağ tarama aktiviteleri yaparak birden fazla yerel Windows hesabına erişim sağlamaya çalıştıkları gözlemlendi.
SonicWall’dan Gelen Açıklama
Huntress’in raporundan kısa bir süre sonra SonicWall, bir güvenlik olayının, MySonicWall hesaplarında depolanan güvenlik duvarı yapılandırma yedek dosyalarının yetkisiz bir şekilde açığa çıktığını kabul etti. Bu breach, SonicWall’un bulut yedekleme hizmetini kullanmış olan tüm müşterilerini etkiliyor. Arctic Wolf, “Güvenlik duvarı yapılandırma dosyaları, tehdit aktörlerinin bir organizasyonun ağına erişim sağlaması için kullanabileceği hassas bilgiler depolar,” açıklamasında bulundu. Bu dosyalar, kullanıcı, grup ve alan ayarları, DNS ve günlük ayarları gibi kritik bilgileri içerebiliyor.
Hassas Bilgilerin Korunması
Huntress, mevcut durumda bu breach’in son zamanlarda yaşanan saldırılarla bir bağlantısının olduğunu gösterir bir kanıt bulunmadığını belirtti. Ancak, hassas kimlik bilgileri güvenlik duvarı yapılandırmalarında saklandığı için, MySonicWall bulut yapılandırma yedekleme hizmetini kullanan kuruluşların, canlı güvenlik duvarı cihazlarında kimlik bilgilerini sıfırlamaları öneriliyor.
Ayrıca, WAN yönetiminin ve uzaktan erişimin kısıtlanması, güvenlik duvarı veya yönetim sistemleri üzerinde geçen herhangi bir dış API anahtarının geri alınması, şüpheli etkinlik belirtileri için girişlerin izlenmesi ve tüm yönetici ve uzaktan erişim hesapları için çok faktörlü kimlik doğrulamanın (MFA) uygulanması tavsiye ediliyor.
Zorla Giriş ve Ransomware Tehditleri
SonicWall güvenlik duvarı cihazlarını hedef alan ransomware (fidye yazılımı) faaliyetlerinde bir artış gözlemleniyor. Bu saldırılar, bilinen güvenlik açıklarını (CVE-2024-40766) kullanarak hedef ağlara girebilmek için yapılıyor. Darktrace, geçtiğimiz hafta yayınladığı bir raporda, ağ taraması, keşif, yan hareket, yetki artırma ve veri dışa aktarma gibi tekniklerin kullanıldığı bir sızma girişimi tespit etti. Raporda, “Ele geçirilen cihazlardan biri daha sonra bir SonicWall sanal özel ağ sunucusu olarak tanımlandı,” ifadesi yer alıyor.
Güncel Yamanlama Uygulamaları
Akira fidye yazılımı aktörleri tarafından yürütülen bu kampanya, güncel yamalama uygulamalarının önemini vurguluyor. Tehdit aktörleri, sadece yeni keşfedilen açıkları değil, daha önceden bildirilmiş güvenlik açıklarını da istismar ediyor. Bu durum, yamaların yayımlanmasının ardından bile dikkati elden bırakmamak gerektiğini gösteriyor. Kuruluşların, siber güvenlik açıklarını kapatmak ve sistemlerini korumak için sürekli olarak güncellemeleri uygulamaları ve güvenlik önlemlerini gözden geçirmeleri önem taşıyor.
Yukarıda belirtilen önlemlerin yanı sıra, kuruluşların siber güvenlik stratejilerini gözden geçirerek olası tehditlere karşı hazırlıklı olmaları gerekmektedir. Bu durum, hem kullanıcıların hem de sistem yöneticilerinin güvenli bir ortamda çalışmasını sağlamak açısından kritik bir öneme sahiptir.
