SonicWall SMA 1000'de Aktif Olarak Kullanılan İki Sıfır Gün Açığı: Biri Yönetici Komutlarına İzin Verebilir Linux

SonicWall SMA 1000'de Aktif Olarak Kullanılan İki Sıfır Gün Açığı: Biri Yönetici Komutlarına İzin Verebilir

SonicWall, SMA 1000 serisi cihazlarda aktif olarak kullanılan iki sıfır gün güvenlik açığı konusunda uyarıda bulundu. Açıklardan biri uzaktan kod çalı

SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazları etkileyen iki sıfır gün güvenlik açığının aktif olarak istismar edildiğini duyurdu. Açıklardan biri, kimliği doğrulanmamış bir saldırganın cihazda rastgele komut çalıştırmasına olanak tanıyabilecek kritik bir sunucu taraflı istek sahteciliği (SSRF) zafiyeti. Diğeri ise kimlik doğrulaması gerektiren bir kod enjeksiyonu açığı. Şirket, kullanıcılarına acilen yamaları uygulamaları çağrısında bulunuyor.

CVE-2026-15409 olarak izlenen ilk açık, CVSS puanı 10.0 ile maksimum kritiklik seviyesinde. Bu SSRF zafiyeti, uzaktaki kimliği doğrulanmamış bir saldırganın SMA 1000 cihazını istenmeyen bir konuma istek göndermeye zorlamasına olanak tanıyor. İkinci açık olan CVE-2026-15410 ise CVSS puanı 7.2 ile yüksek önem derecesine sahip. Bu zafiyet, Cihaz Yönetim Konsolu'nda (AMC) bulunan bir kod enjeksiyonu hatasından kaynaklanıyor ve kimliği doğrulanmış bir saldırganın belirli koşullar altında yönetici yetkileriyle işletim sistemi komutları çalıştırmasına izin veriyor.

SonicWall, "birçok aktif istismar vakasını araştırdığını" belirterek kullanıcıları en kısa sürede yamaları uygulamaya çağırdı. Düzeltmeler, 12.4.3-03453 (platform-hotfix) ve üzeri sürümler ile 12.5.0-02835 (platform-hotfix) ve üzeri sürümlerde mevcut. Kullanıcılara ayrıca, aşağıdaki belirtilerin varlığına karşı sistemlerini detaylı bir adli analize tabi tutmaları öneriliyor: extraweb_access.log dosyasında /__api__/login veya /__api__/logout isteklerinin HTTP 200 durumuyla görülmesi; extraweb_access.log'da şüpheli host parametreleriyle /wsproxy isteklerinin HTTP 101 durumuyla görülmesi; ctrl-service.log'da path traversal adlarıyla hotfix rollback kayıtları; /var/lib/unit/conf.json dosyasında /__api__/login veya /__api__/logout rotalarının bulunması (bu URI'ler meşru yapılandırmada yer almaz).

Bu göstergelerden birinin varlığı halinde, fiziksel cihazların yeniden imajlanması veya sanal cihazların yeniden dağıtılması, kullanıcı ve yönetici şifrelerinin değiştirilmesi ve zaman tabanlı tek kullanımlık şifre (TOTP) tokenlerinin sıfırlanması öneriliyor. SonicWall Ürün Güvenliği Olay Müdahale Ekibi'nden (PSIRT) Adam Babis, açıkları keşfedip raporlayan kişi olarak belirtilirken, Volexity'den Sean Koessel ve Steven Adair'in iç soruşturmaya katkıları ve ek bir IOC tespiti için teşekkür edildi.

Gelişmeler üzerine ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki açığı da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve Federal Sivil Yürütme Organı (FCEB) ajanslarının düzeltmeleri 17 Temmuz 2026'ya kadar uygulamasını zorunlu kıldı.

Gelecekte Ne Bekleniyor?

Rapid7 tarafından 15 Temmuz 2026'da yayınlanan bir takip raporunda, internet üzerinden erişilebilen SMA 1000 serisi cihazlara yönelik hedefli sıfır gün istismarının en az geçen ayın sonundan beri aktif olduğu belirtildi. Rapid7, saldırganların iki açığı birleştirerek savunmasız cihazların kontrolünü ele geçirdiğini değerlendiriyor. Tehdit aktörlerinin, çevre birim cihazını gizli bir ilk erişim vektörü olarak kullandığı, geleneksel girdi doğrulama kontrollerini atlayarak işletim sisteminde komutlar çalıştırdığı tespit edildi. Cihaza yerleştikten sonra yüksek değerli kimlik bilgilerini, aktif oturum veritabanlarını ve TOTP çok faktörlü kimlik doğrulama (MFA) tohum yapılandırmalarını sistematik olarak çaldıkları belirtiliyor. Bu yerel hasat, standart ağ düzeyindeki düzeltmelerden sağ kurtulabilecek uzun vadeli kalıcı erişim sağlamayı amaçlıyor. Tehdit aktörlerinin ayrıca yanal hareketle güvenliği ihlal edilmiş cihazdan doğrudan iç kurumsal ağa geçtiği, ardından "anormal, VPN'siz Active Directory kimlik doğrulamaları" ile hedef alan denetleyicilerine yöneldiği ifade ediliyor. Rapid7, bu benzersiz davranışın cihazın tamamen ele geçirildiğini ve kurumsal dizin altyapısına izlenmeyen bir arka kapı olarak kullanıldığını doğruladığını vurguluyor.

Kaynak: thehackernews.com

Paylaş: