SonicWall VPN Açığı ve Etkileri
Son dönemlerde, SonicWall Gen6 SSL-VPN cihazlarında yaşanan bir güvenlik açığı, kötü niyetli saldırganların çok faktörlü kimlik doğrulamayı (MFA) aşarak ransomware saldırıları düzenlemesine olanak tanımıştır. Bu durum, kurumsal ağların güvenliğini tehdit eden ciddi bir sorun olarak karşımıza çıkmaktadır.
Saldırı Nasıl Çalışıyor?
Kötü niyetli aktörler, SonicWall Gen6 cihazlarında bulunan CVE-2024-12802 açığını kullanarak, VPN kimlik bilgilerini brute-force tekniğiyle ele geçirmiştir. Bu süreçte, saldırgan aşağıdaki adımları izlemektedir:
- 30-60 dakika içinde ağa giriş yapma
- Ağ keşfi yapma
- İç sistemlerde kimlik bilgisi tekrarını test etme
- Çıkış yapma
Saldırı aktivitesi sırasında, uzaktan erişim için RDP bağlantısı kurarak, paylaşılan bir yerel yönetici parolası kullanmıştır. Araştırmacılar, bir saldırıda Cobalt Strike beacon’ını aktif hale getirmeye çalışıldığını, fakat yerel endpoint dedektörü tarafından engellendiğini bildirmiştir.
Etkilenen Sistemler
Saldırıdan etkilenen sistemler arasında özellikle Gen6 SonicWall cihazları bulunmaktadır. Ancak Gen7 ve Gen8 modelleri için güncellemelerin yeterli olduğu ve riski ortadan kaldırdığı belirtilmiştir. Bu bağlamda, cihazlar aşağıdaki adımlara tabi tutulmalıdır:
- Son firmware güncellemesinin uygulanması
- LDAP sunucusunun manuel olarak yeniden yapılandırılması
Unutulmamalıdır ki, yalnızca firmware güncellemesi yapmak, CVE-2024-12802 açığını tam olarak kapatmamaktadır.
Çözüm ve Korunma
CVE-2024-12802 açığının giderilmesi için SonicWall cihazlarında aşağıdaki adımların izlenmesi zorunludur:
- “Qualified login name” alanındaki mevcut LDAP konfigürasyonunu silin.
- Yerel önbellekteki LDAP kullanıcılarını kaldırın.
- Konfigüre edilmiş SSL VPN “User Domain”i kaldırın.
- Firewal’ı yeniden başlatın.
- “Qualified login name” kısmında userPrincipalName olmadan LDAP konfigürasyonunu yeniden oluşturun.
- Güvenlik açığının tekrar ortaya çıkmaması için yeni bir yedek alın.
Ayrıca, saldırganların giriş denemeleri genellikle MFA akışında normal izlenim bırakmaktadır. Bu nedenle, yöneticilerin loglarda sess=”CLI” sinyalini izlemesi, potansiyel saldırıları tespit etmek açısından kritik öneme sahiptir.
Sonuç ve Aksiyon Gereksinimi
Gen6 SSL-VPN cihazlarının bu yıl sonlandırıldığı ve güvenlik güncellemeleri almadığı göz önüne alındığında, güncel ve desteklenen cihazlara geçiş yapmak şiddetle tavsiye edilmektedir. Ayrıca, yukarıda belirtilen güncellemeleri ve yapılandırma adımlarını derhal uygulamak, sistemlerinizi olası saldırılara karşı koruma altına alacaktır. Unutmayın, güvenliği sağlamak için proaktif adımlar atmak her zaman en iyi stratejidir.
