Akira Ransomware Çetesi ve CVE-2024-40766 Açığı
Son zamanlarda, Akira ransomware çetesi, SonicWall cihazlarını hedef alarak CVE-2024-40766 adı verilen kritik bir güvenlik açığını istismar etmekte. Bu açık, bir yıldan beri aktif olarak siber saldırganlar tarafından kullanılmakta ve SonicWall cihazlarının yetkisiz erişimine yol açmakta.
SonicWall ve CVE-2024-40766 Güvenlik Açığı
SonicWall, CVE-2024-40766 için bir yamanın geçtiğimiz yıl Ağustos ayında yayınlandığını duyurmuştu. Bu açık, yetkisiz kaynak erişimine izin vermekte ve ayrıca güvenlik duvarlarının çökmesine neden olabilmektedir. Yapılan açıklamada, güvenlik açığının sıklıkla kullanıldığını vurgulayan SonicWall, kullanıcıların yerel olarak yönetilen SSLVPN hesapları için güncellemeyi takip ederek şifre yenilemelerini şiddetle önermiştir.
Yenileme sonrasında şifrelerin değiştirilmemesi, siber suçluların maruz kalan kimlik bilgilerini kullanarak çok faktörlü kimlik doğrulama (MFA) veya zaman tabanlı tek kullanımlık şifre (TOTP) sistemlerine erişim sağlamasına yol açabilir.
Avustralya’dan Uyarılar
Son günlerde, Avustralya Siber Güvenlik Merkezi (ACSC), bu yeni kötü niyetli aktivite hakkındaki uyarısını yayımladı ve organizasyonların derhal harekete geçmesini önerdi. ACSC’nin açıklamasında, “Avustralya’da, SonicWall SSL VPN’lerinde CVE-2024-40766 açıklarının artarak istismar edildiğine dair bilgiler alıyoruz.” denildi. Bunun yanı sıra Rapid7 adlı siber güvenlik firması da, SonicWall cihazlarına yönelik Akira ransomware saldırılarında artış olduğunu raporladı.
Saldırı Yöntemleri ve Güvenlik Önlemleri
Rapid7, Akira’nın saldırı yöntemlerinde Varsayılan Kullanıcı Grubu‘nun geniş erişim izinlerini kullanarak VPN’e bağlandığını ve SonicWall cihazlarının Sanal Ofis Portalı için varsayılan kamu erişim izinlerini kullandığını vurguladı. Bu durum, siber güvenlik topluluğunda kafa karışıklığına yol açtı; birçok kişi ransomware aktörlerinin SonicWall ürünlerinde sıfırıncı gün güvenlik açığı istismar ettiğini bildirdi. Ancak SonicWall, yaptığı yeni bir güvenlik duyurusunda, bu SSLVPN aktivitelerinin bir sıfırıncı gün açığı ile bağlantılı olmadığına dair yüksek bir güvence verdi.
Son Dönemdeki Güvenlik İhlalleri
Geçen ay SonicWall, bu aktiviteyle ilgili olarak 40’a kadar güvenlik olayı incelemekte olduğunu belirtti. CVE-2024-40766, aşağıdaki güvenlik duvarı sürümlerini etkilemektedir:
- Gen 5: 5.9.2.14-12o ve daha eski sürümlerde çalışan SOHO cihazları
- Gen 6: 6.5.4.14-109n ve daha eski sürümlerdeki TZ, NSA ve SM modelleri
- Gen 7: 7.0.1-5035 ve daha eski sürümlerdeki TZ ve NSA modelleri
Sistem yöneticilerine, üretici tarafından sağlanan onarım ve azaltma önerilerine uymaları tavsiye edilmektedir.
Güvenlik Önlemleri ve Uygulamalar
Sistem yöneticilerinin, SonicWall cihazlarının güncel güvenlik açıklarına karşı hassasiyet göstermeleri için yapmaları gereken bazı önlemler şunlardır:
- Yamanın Uygulanması: SonicWall cihazlarının, 7.3.0 veya daha yeni sürümüne güncellenmesi.
- Şifre Yenileme: SonicWall hesap şifrelerinin değiştirilmesi.
- Çok Faktörlü Kimlik Doğrulama (MFA): Bu sistemin etkinleştirilmesi.
- Varsayılan Grupların Riskinin Azaltılması: Özellikle SSLVPN Varsayılan Gruplar arasında yabancı kullanıcıların erişiminin kısıtlanması.
- Sanal Ofis Portalı Erişimlerinin Sınırlandırılması: Bu portalın yalnızca güvenilir veya iç ağlardan erişilmesine izin verilmesi.
Sonuç Olarak
Akira ransomware çetesinin CVE-2024-40766’yı istismar etmesi, hem SonicWall kullanıcılarını hem de genel siber güvenlik topluluğunu endişelendirmektedir. Kullanıcıların gerekli önlemleri alması ve zamanında güncellemelerin yapılması, olası güvenlik ihlallerini azaltacaktır. Siber güvenlik alanında en son gelişmeleri takip etmek ve gerekli önlemleri almak, güvenli bir dijital ortam sağlamak adına büyük önem taşımaktadır.
