SmarterTools Ağında Saldırı Gerçekleşti
SmarterTools, Warlock fidye yazılımı grubu tarafından e-posta sisteminin ihlali ile ağının hedef alındığını doğruladı. Bu saldırı, iş uygulamaları veya hesap verilerini etkilemedi, ancak önemli verilerin güvenliğini tehdit eden bir durum ortaya çıkardı.
Saldırı Nasıl Çalışıyor?
Saldırı, 29 Ocak’ta bir çalışan tarafından kurulan tek bir SmarterMail sanal makinesi (VM) üzerinden gerçekleştirildi. Şirketin Ticari Direktörü Derek Curtis, “Breach gerçekleşmeden önce, ağımızda SmarterMail kurulu yaklaşık 30 sunucu/VM bulunuyordu” açıklamasını yaptı. Saldırganlar, birini hedef alarak Active Directory üzerinden yatay hareket edip Windows odaklı araçlar kullanarak sisteme erişim sağladı.
Exploite edilen zafiyet ise: CVE-2026-23760, SmarterMail’ın 9518 versiyonundan önceki sürümlerinde bulunan bir kimlik doğrulama atlama açığıdır. Bu açık, yönetici parolalarını sıfırlayarak tam yetki sağlamaktadır.
Etkilenen Sistemler
Saldırıda etkilenmiş olan sistemler şu şekilde sıralanabilir:
- 12 Windows sunucusu, şirketin ofis ağı üzerinde.
- Laboratuvar testleri, kalite kontrol ve barındırma için kullanılan bir ikincil veri merkezi.
Linux sunucularının ise saldırıya uğramadığı rapor edilmektedir. Saldırganlar, ilk erişimden yaklaşık bir hafta sonra tüm ulaşılabilir makinelerin şifrelenmesi aşamasına geçtiler. Ancak, Sentinel One güvenlik ürünleri son aşamayı engelleyerek etkilenmiş sistemleri izole etti ve veriler güncel yedeklerden geri yüklendi.
Çözüm ve Korunma
Saldırının önlenmesi için sistem yöneticilerinin aşağıdaki adımları atması önerilmektedir:
- SmarterMail yazılımını Build 9511 veya üzeri bir versiyona güncelleyin.
- Kullanılmayan veya güncel olmayan sanal makineleri kaldırın.
- Ağ güvenlik önlemlerini artırın ve düzenli güvenlik taramaları yapın.
- Fidye yazılımı tespit ve önleme çözümlerini uygulayın.
Ayrıca, CVE-2026-24423 gibi diğer açıklar için bilgiler güncellenmeli ve ilgili yamalar hızlı bir şekilde uygulanmalıdır. Bu tür zafiyetlerin kötüye kullanılmasını önlemek amacıyla, proaktif bir yaklaşımla güvenlik açıklarını hızlı bir şekilde kapatmak hayati öneme sahiptir.
Sonuç
Bu ihlalden sonra, şirketlerin saldırılara karşı daha özel güvenlik önlemleri alması şarttır. Kullanıcıların, sistem güncellemelerini yapması ve potansiyel zayıflıkları ortadan kaldırması kritik öneme sahiptir. Unutmayın, siber güvenlik, sürekli bir süreçtir ve düzenli güncellemeler ile dikkatli bir izleme gerektirir.
