SonicWall SMA 1000'de İki Sıfır Gün Açığı Aktif Olarak İstismar Ediliyor Dünya Geneli

SonicWall SMA 1000'de İki Sıfır Gün Açığı Aktif Olarak İstismar Ediliyor

SonicWall, SMA 1000 serisi cihazlarda aktif olarak istismar edilen iki sıfır gün açığı konusunda uyarı yayınladı. Zafiyetlerden biri uzaktan komut çal

SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazları etkileyen iki sıfır gün açığının aktif olarak istismar edildiğini duyurdu. Bu zafiyetlerden birinin uzaktan komut çalıştırmaya olanak sağladığı belirtiliyor. Şirket, müşterilerine acil olarak yamaları uygulamaları çağrısında bulunurken, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bu açıkları Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna ekledi.

İlk zafiyet olan CVE-2026-15409, CVSS puanı 10.0 ile maksimum kritik seviyede. Bu, Sunucu Taraflı İstek Sahteciliği (SSRF) zafiyeti olup, uzaktaki kimlik doğrulaması olmayan bir saldırganın cihazı istenmeyen bir konuma istek göndermeye zorlamasına olanak tanıyor. İkinci zafiyet ise CVE-2026-15410 (CVSS 7.2), Cihaz Yönetim Konsolu'nda (AMC) bulunan bir kimlik doğrulama sonrası kod enjeksiyonu zafiyeti. Bu açık, uzaktaki kimlik doğrulaması yapmış bir saldırganın belirli koşullar altında yönetici olarak işletim sistemi komutları çalıştırmasına izin veriyor.

SonicWall, aktif istismar vakalarını araştırdıktan sonra yamaları yayınladı. Güvenli sürümler: 12.4.3-03453 (platform-hotfix) ve üzeri, 12.5.0-02835 (platform-hotfix) ve üzeri. Kullanıcıların ayrıca sistemlerinde tehlike göstergeleri (IoC) olup olmadığını kontrol etmeleri öneriliyor. Belirtilen IoC'ler arasında extraweb_access.log dosyasında /__api__/login veya /__api__/logout isteklerinin 200 HTTP durumuyla görülmesi, /wsproxy isteklerinde şüpheli host parametrelerinin 101 durumuyla yer alması, ctrl-service.log'da path traversal içeren hotfix geri almaları ve /var/lib/unit/conf.json dosyasında meşru olmayan /__api__/login veya /__api__/logout yollarının bulunması sayılabilir.

Eğer bu göstergelerden biri tespit edilirse, SonicWall fiziksel cihazların yeniden imajlanmasını veya sanal cihazların yeniden dağıtılmasını, kullanıcı ve yönetici şifrelerinin değiştirilmesini ve zaman tabanlı tek kullanımlık şifre (TOTP) tokenlerinin sıfırlanmasını öneriyor. Zafiyetleri keşfeden ve raporlayan SonicWall PSIRT ekibinden Adam Babis'e teşekkür edilirken, Volexity'den Sean Koessel ve Steven Adair'in iç soruşturmaya katkıları da takdirle karşılandı.

Rapid7 tarafından yayınlanan bir takip raporunda, internet üzerinden erişilebilen SMA 1000 serisi cihazlara yönelik hedefli sıfır gün istismarlarının en az geçen ayın sonundan beri aktif olduğu belirtildi. Saldırganların iki zafiyeti birleştirerek savunmasız cihazların kontrolünü ele geçirdiği değerlendiriliyor. Rapid7, tehdit aktörlerinin çevresel cihazı gizli bir ilk erişim vektörü olarak kullandığını, geleneksel girdi doğrulama kontrollerini atlayarak işletim sisteminde komut çalıştırdığını belirtti.

Saldırganların cihazda yer edindikten sonra yüksek değerli kimlik bilgilerini, aktif oturum veritabanlarını ve TOTP çok faktörlü kimlik doğrulama (MFA) tohum yapılandırmalarını sistematik olarak çaldığı ifade ediliyor. Bu yerel toplama işlemi, standart ağ düzeyindeki düzeltmelerden kurtulabilecek uzun vadeli kalıcı erişim sağlamayı amaçlıyor. Tehdit aktörlerinin, ele geçirilen cihazdan doğrudan iç kurumsal ağa yanal hareket ettiği ve ardından anormal, VPN'siz Active Directory kimlik doğrulamalarıyla ana etki alanı denetleyicilerini hedef aldığı gözlemlendi.

Tüm bu gelişmeler ışığında, CISA Federal Sivil Yürütme Organı (FCEB) kurumlarının yamaları 17 Temmuz 2026'ya kadar uygulamasını zorunlu kıldı. SonicWall kullanıcılarının en kısa sürede güncellemeleri yapması ve sistemlerinde IoC taraması gerçekleştirmesi kritik önem taşıyor. Aksi halde cihazlar tamamen ele geçirilebilir ve kurumsal ağlara sızma amacıyla kullanılabilir.

Kaynak: thehackernews.com

Paylaş: