SonicWall’da Yeni Bir Zero-Day Açığı mı Var?
Siber güvenlik alanında sürekli değişim ve gelişim yaşanırken, SonicWall, son günlerde artan Akira ransomware aktiviteleriyle ilgili bir açıklama yaptı. Özellikle Gen 7 SonicWall firewall’larının, SSL VPN aktifken ciddi bir tehdit altında olduğu belirtiliyor. SonicWall, bu durumun arka planını araştırmakta, ayrıca potansiyel bir zero-day açığı olup olmadığını belirlemeye çalışıyor.
Artan Siber Olaylar
SonicWall, son 72 saat içerisinde hem iç hem de dış kaynaklardan gelen siber olaylar raporlarında önemli bir artış olduğunu bildirdi. Özellikle, Gen 7 SonicWall firewall’larının SSL VPN özelliği aktifken bu artışın gözlemlendiği ifade ediliyor. Firma, bu olayların, daha önce açıklanan bir güvenlik açığı ile bağlantılı olup olmadığını incelemektedir.
Önerilen Önlemler
SonicWall, kullanıcıları için acil önlemler alması gereken durumları belirtti. Şu anda geçerli olan öneriler şunlardır:
- SSL VPN servislerini devre dışı bırakmak.
- SSL VPN bağlantısını güvenilir IP adresleri ile sınırlamak.
- Botnet Koruma ve Geo-IP Filtreleme gibi hizmetleri aktifleştirmek.
- Çok faktörlü kimlik doğrulama (MFA) uygulamak.
- SSL VPN erişimi olan pasif veya kullanılmayan yerel kullanıcı hesaplarını kaldırmak.
- Tüm kullanıcı hesapları için düzenli parolaların güncellenmesini teşvik etmek.
Bu önlemler, kuruluşların saldırılara karşı daha dirençli olmasını sağlamak için kritik önem taşımaktadır.
Akira Ransomware Tehditi
Siber güvenlik firması Arctic Wolf, Akira ransomware etkinliğinde önemli bir artış gözlemlendiğini bildirdi. Bu gelişme, SonicWall SSL VPN cihazlarını hedef alarak saldırılara erişim sağlamak amacıyla gerçekleşmektedir. Huntress firmasının yaptığı takip analizi ise, saldırganların ilk ihlalle birlikte yalnızca birkaç saat içerisinde doğrudan domain controller‘lara yöneldiğini ortaya koydu.
Saldırı zincirleri, SonicWall cihazının ihlali ile başlamakta; ardından saldırganlar, “iyi bilinmiş” bir sonrası exploit yolu izleyerek karşılıklı hareket, algıdan kaçış, lateral hareket ve kimlik bilgisi çalma işlemleri gerçekleştirmektedirler. Bu süreçte, saldırganların Microsoft Defender Antivirus‘u sistemden devre dışı bıraktıkları ve volume shadow copies‘i sildikleri gözlemlenmiştir.
Saldırılardaki Artış ve Kullanılan Yöntemler
Huntress, 25 Temmuz 2025 tarihi itibarıyla yapılan saldırılara dair yaklaşık 20 farklı saldırı tespit etmiştir. Bu saldırılarda kullanılan taktik ve araçlarda ise farklılıklar gözlemlenmiştir. AnyDesk, ScreenConnect ya da SSH gibi araçlar, keşif ve kalıcılık sağlama aşamalarında kullanılmıştır.
Ayrıca, bu aktivitelerin özellikle TZ ve NSa-serisi SonicWall firewall’ları üzerinde SSL VPN aktifken sınırlı olduğu ve şüphelenilen açığın firmware versiyonları 7.2.0-7015 ve öncesinde mevcut olduğu belirtilmiştir.
Tehditin Önemi
Saldırıların hızlılığı ve başarısı, özellikle çok faktörlü kimlik doğrulama (MFA) uygulanan ortamlar dahil olmak üzere, bir zero-day açığının açık bir şekilde exploite edildiğine işaret etmektedir. Siber güvenlik firmaları, bu durumun kritik bir tehdit olduğunu ve zaman kaybedilmeden müdahale edilmesi gerektiğini vurgulamaktadır.
Sonuç olarak, siber güvenlik alanındaki önlemler ve süregelen araştırmalar, kuruluşların Akira ransomware gibi tehditlere karşı daha donanımlı hale gelmeleri için elzemdir. Kullanıcıların alması gereken önlemler, sadece bireysel güvenliklerini artırmakla kalmayacak, aynı zamanda şirketlerin genel güvenlik stratejilerini de güçlendirecektir.
