SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazlarda aktif olarak sömürülen iki sıfırıncı gün güvenlik açığı konusunda kritik bir uyarı yayınladı. Şirket, bu açıkların vahşi ortamda saldırılarda kullanıldığını tespit etti ve kullanıcıları derhal yama yapmaya çağırdı. Açıklar, şirketin PSIRT ekibinden Adam Babis tarafından keşfedilirken, Volexity'den Sean Koessel ve Steven Adair de soruşturmaya katkıda bulundu.
İlk güvenlik açığı CVE-2026-15409 (CVSS puanı 10.0) olarak izleniyor ve SMA1000 Appliance Work Place arayüzünde bir Sunucu Taraflı İstek Sahteciliği (SSRF) zafiyeti. Uzaktan kimliği doğrulanmamış bir saldırgan, bu açığı kullanarak cihazı istenmeyen bir konuma istek göndermeye zorlayabilir. Bu, hassas verilerin sızdırılması veya iç ağdaki diğer sistemlere saldırı için kullanılabilir.
İkinci açık ise CVE-2026-15410 (CVSS puanı 7.2) olarak kaydedildi ve SMA1000 Appliance Management Console (AMC) arayüzünde kimlik doğrulama sonrası kod enjeksiyonu zafiyeti. Uzaktan kimliği doğrulanmış bir saldırgan (yönetici haklarıyla), belirli koşullar altında cihazda rastgele işletim sistemi komutları çalıştırabilir. Bu, tam sistem kontrolü anlamına geliyor.
Her iki açık da SMA1000 modellerini (6210, 7210, 8200v) ve 12.4.3-03245 ile 12.5.0-02800 arasındaki sürümleri etkiliyor. SonicWall, sorunu 12.4.3-03453 ve 12.5.0-02835 (platform-hotfix) ve sonraki sürümlerde giderdi. Kullanıcıların en kısa sürede bu sürümlere yükseltme yapması öneriliyor.
Sistem Güvenliği
Saldırı tespiti için sistem günlüklerinde şu göstergeler aranmalı: login/logout API uç noktalarına olağandışı istekler, şüpheli WebSocket proxy bağlantıları, path traversal teknikleriyle hotfix geri alma girişimleri veya cihaz yapılandırmasında yetkisiz API rotaları. SonicWall, yama yapıldıktan sonra adli bilişim incelemesi yapılmasını, tehlike tespit edilirse cihazın yeniden imajlanmasını/yeniden dağıtılmasını, tüm kullanıcı ve yönetici parolalarının sıfırlanmasını ve TOTP token'larının yeniden kaydedilmesini öneriyor.
Gelecekte Ne Bekleniyor?
Bu olay, SonicWall SMA1000 cihazlarına yönelik süregelen tehditleri gösteriyor. Geçtiğimiz Aralık ayında da şirket, yine AMC'de yerel ayrıcalık yükseltme zafiyeti (CVE-2025-23006 ile zincirleme) konusunda uyarı yapmıştı. Yöneticilerin güvenlik yamalarını gecikmeden uygulaması, ağ güvenliği için kritik öneme sahip.
SonicWall, yangın duvarı ürünlerinin bu açıklardan etkilenmediğini belirtiyor. Ancak SMA 1000 cihazları, uzaktan erişim altyapısının temel parçası olduğundan, bu tür zafiyetler kurumsal ağlar için büyük risk oluşturuyor. Kullanıcıların yalnızca güncelleme yapmakla kalmayıp, aynı zamanda güvenlik olay yanıt planlarını da gözden geçirmeleri önerilir.
Kaynak: securityaffairs.com