SonicWall Uyarıları ve Güvenlik Önlemleri
Son dönemde, SonicWall, müşterilerine SSLVPN hizmetlerini devre dışı bırakmaları konusunda uyarılarda bulundu. Bunun nedeni, ransomware çetelerinin, SonicWall Gen 7 güvenlik duvarlarındaki bilinmeyen bir güvenlik açığını kullanarak ağlara sızma ihtimalinin artmasıdır.
Hükümetin resmi siber güvenlik kuruluşlarından olan Arctic Wolf Labs, geçtiğimiz Cuma günü yaptığı açıklamada, 15 Temmuz’dan bu yana bir dizi Akira ransomware saldırısının gözlemlendiğini bildirdi. Bu saldırıların büyük olasılıkla, SonicWall’un zero-day açığını kullanarak gerçekleştirildiği kaydedildi.
Açıklar ve İhtimaller
Araştırmacılar, “Bu kampanyada kullanılan ilk erişim yöntemleri henüz doğrulanmamıştır,” dedi. Zero-day açığının varlığının oldukça olası olduğunu belirtirken, daha önce tanımlanmamış zayıflıkların yanı sıra, brute force ve dictionary saldırıları ile credential stuffing yöntemlerinin de kullanıldığına dair kesin bir bilgi olmadığını eklediler.
Arctic Wolf’un yaptığı açıklamanın ardından SonicWall yöneticilerine, yukarıda bahsedilen güvenlik açığının saldırılarda kullanılma olasılığı göz önünde bulundurularak, SonicWall SSL VPN hizmetlerini geçici olarak devre dışı bırakmaları önerildi.
Cybser Güvenlik Uzmanlarının Değerlendirmeleri
Siber güvenlik şirketlerinden Huntress, Arctic Wolf’un bulgularını doğruladı ve bu kampanya ile ilgili topladığı indikasyonlar (IOCs) üzerine bir rapor yayınladı. “SonicWall VPN’lerindeki olası bir zero-day zafiyetinin, MFA’yı atlatmak ve ransomware dağıtmak için aktif olarak kullanıldığı uyarısında bulunduk,” diyen Huntress, VPN hizmetlerinin hemen devre dışı bırakılmasını veya IP “allow-listing” uygulamaları ile erişimin ciddi şekilde kısıtlanmasını tavsiye etti.
SonicWall, bu durumun farkında olduğunu belirtti ve müşterilerine şu güvenlik önlemlerini almalarını önerdi:
- SSL VPN hizmetlerini mümkünse devre dışı bırakın.
- SSL VPN bağlantısını, yalnızca güvenilir kaynak IP adresleri ile sınırlayın.
- Botnet Koruma ve Geo-IP Filtering gibi güvenlik hizmetlerini etkinleştirerek SSL VPN noktalarına saldıran bilinen tehdit aktörlerini tanıyın ve engelleyin.
- Tüm uzaktan erişim için Çok Faktörlü Kimlik Doğrulama (MFA) uygulayarak kimlik verilme/riskini en aza indirin.
- Kullanılmayan hesapları kaldırın.
Artan Siber Saldırılar
SonicWall, son 72 saat içinde SSLVPN etkinleştirilmiş Gen 7 güvenlik duvarlarıyla ilgili hem iç hem de dış kaynaklar tarafından bildirilen siber olaylarda önemli bir artış yaşandığını bildirdi. Şirket, “Bu olayları araştırıyoruz; bunun daha önce açıklanan bir güvenlik açığı ile bağlantılı olup olmadığını veya yeni bir açığın sorumlu olup olmadığını tespit etmeye çalışıyoruz,” dedi.
Müşterilerinin dikkatli olmalarını ve yukarıda belirtilen güvenlik tedbirlerini derhal uygulamalarını istediler.
Kritik Güvenlik Açıkları ve Yapılması Gerekenler
İki hafta öncesinde, SonicWall, yöneticilere SMA 100 cihazlarını kritik bir güvenlik açığı (CVE-2025-40599) için yamanmalarını tavsiye etmişti. Bu güvenlik açığının, yamalanmamış cihazlarda uzaktan kod çalıştırarak saldırılara neden olabileceği belirtildi.
Saldırganların CVE-2025-40599’u kullanabilmesi için yönetici yetkilerine ihtiyaç duyduğu belirtildi. Ancak, bu açığın aktif istismar edilip edilmediğine dair mevcut bir kanıt olmamasına rağmen, şirket yine de müşterilerini korumaya davet etti. Zira bu cihazlar, ele geçirilen kimlik bilgilerini kullanarak OVERSTEP adlı yeni bir kök kit malware’i dağıtma hedefiyle saldırılara maruz kalmaktadır.
Sonuç olarak
SonicWall’un belirtilen güvenlik önlemleri, siber saldırganların olası saldırılarını en aza indirmek için kritik öneme sahiptir. Müşterilerin, özellikle son aylarda artan ransomware saldırıları karşısında dikkatli olmaları ve belirtilen güvenlik protokollerini uygulamaları büyük önem taşımaktadır. Güvenlik açıklarını zamanında tespit etmek ve değerlendirerek hızlıca tedbir almak, siber güvenliğin korunmasında hayati bir rol oynamaktadır.
