SolarWinds WHD Güvenlik Açıkları ve Saldırıların Etkisi
Son günlerde, siber saldırganların SolarWinds Web Help Desk (WHD) üzerindeki açıkları istismar ederek, saygın araçları kötü amaçlı bir şekilde kullanma stratejisi benimsedikleri bildirilmektedir. Bu durum, işletmeler için büyük bir tehdit oluşturmakta ve bu nedenle konunun ciddiyetini artırmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırganlar, en az üç kuruluşu hedef alarak CVE-2025-40551 ve CVE-2025-26399 açıklarını kullanmaktadır. Bu güvenlik açıkları, kimlik doğrulama olmadan uzaktan kod yürütme imkanı sağlamakta ve yüksek kritiklik derecesi taşımaktadır. Araştırmalar, bu saldırıların 16 Ocak’ta başlayan bir kampanyanın parçası olduğunu göstermektedir. Böylelikle, saldırganlar Cloudflare tünellerini sürekli erişim için ve Velociraptor siber olay müdahale aracıyla komut ve kontrol (C2) sağlamak amacıyla kullanıyor.
- CVE-2025-40551 – Uzaktan kod yürütme açığı.
- CVE-2025-26399 – Kimlik doğrulama olmadan uzaktan erişim sağlama açığı.
Etkilenen Sistemler
Saldırganlar başlangıçta erişim sağladıktan sonra, Zoho ManageEngine aracını ve Velociraptor‘u yükleyerek etki alanı keşfi gerçekleştirmiştir. Bu araçlar, doğrudan klavye etkileşimi sağlamakta ve Active Directory üzerinde hedef alana dair bilgi toplamaktadır. Velociraptor ayrıca, siber olaylara müdahale (DFIR) çerçevesinde C2 iletişimini sağlamakta kullanılmaktadır.
- Zoho ManageEngine – Uzak izleme aracı.
- Velociraptor – Siber olay müdahale aracı.
- Cloudflared – İkinci tünel tabanlı erişim kanalı.
Çözüm ve Korunma
Sistem yöneticileri, SolarWinds Web Help Desk’i en az 2026.1 sürümüne güncellemeli ve WHD yönetim arayüzlerine olan kamu internet erişimini kaldırmalıdır. Ayrıca, ürüne bağlı tüm kimlik bilgilerini sıfırlamaları da kritik öneme sahiptir. Huntress, Zoho Assist, Velociraptor, Cloudflared ve VS Code tünel aktivitesini tespit etmek için Sigma kuralları ve tehlike belirteçleri sağlamıştır.
- SolarWinds WHD’yi 2026.1 veya daha yeni bir sürüme güncelleyin.
- Kamu internet erişimini kaldırın.
- Tüm kimlik bilgilerini sıfırlayın.
Sonuç olarak, sıkı bir güncelleme ve ağ güvenliği uygulamak bu tür saldırılara karşı savunma mekanizmalarını artıracaktır. Okuyucuların güvenlik açıklarını izlemeleri ve güncel kalmaları önemlidir.
