SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazları etkileyen iki zero-day güvenlik açığının aktif olarak istismar edildiğini duyurdu. Bu açıklardan biri, saldırganların cihaz üzerinde rastgele komut çalıştırmasına olanak tanıyabiliyor. Şirket, müşterilerine acilen yamaları uygulamaları çağrısında bulunurken, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Federal Sivil Yürütme Organı (FCEB) kurumlarının 17 Temmuz 2026'ya kadar yamaları uygulaması zorunlu hale getirildi.
CVE-2026-15409 (CVSS puanı: 10.0) olarak izlenen ilk açık, bir Sunucu Taraflı İstek Sahteciliği (SSRF) güvenlik açığıdır. Bu açık, uzaktaki kimliği doğrulanmamış bir saldırganın cihazı istenmeyen bir konuma istek göndermeye zorlamasına olanak tanıyor. İkinci açık ise CVE-2026-15410 (CVSS puanı: 7.2) olup, Cihaz Yönetim Konsolu'nda (AMC) bulunan bir kimlik doğrulama sonrası kod enjeksiyonu güvenlik açığıdır. Bu açık, uzaktaki kimliği doğrulanmış bir saldırganın belirli koşullar altında yönetici olarak rastgele işletim sistemi komutları çalıştırmasına izin veriyor.
SonicWall, güvenlik açıklarının aktif olarak istismar edildiğine dair 'birden fazla vaka' araştırdığını belirtti. Yamalar 12.4.3-03453 (platform-hotfix) ve üzeri sürümler ile 12.5.0-02835 (platform-hotfix) ve üzeri sürümlerde mevcut. Kullanıcıların ayrıca sistemlerinde tehlike göstergeleri (IoC) olup olmadığını kontrol etmek için kapsamlı bir adli analiz yapmaları öneriliyor. Belirtilen IoC'ler arasında extraweb_access.log dosyasında /__api__/login veya /__api__/logout URL'lerine 200 HTTP durum koduyla yapılan istekler, /wsproxy'ye şüpheli host parametreleriyle 101 HTTP durum koduyla yapılan istekler, ctrl-service.log'da path traversal içeren hotfix rollback kayıtları ve /var/lib/unit/conf.json dosyasında /__api__/login veya /__api__/logout yönlendirmelerinin bulunması yer alıyor.
Eğer bu göstergelerden biri tespit edilirse, fiziksel cihazların yeniden imajlanması veya sanal cihazların yeniden dağıtılması, kullanıcı ve yönetici şifrelerinin değiştirilmesi ve zamana dayalı tek kullanımlık şifre (TOTP) token'larının sıfırlanması tavsiye ediliyor. SonicWall Ürün Güvenliği Olay Müdahale Ekibi'nden (PSIRT) Adam Babis, bu açıkları keşfedip bildirdiği için takdir edilirken, Volexity'den Sean Koessel ve Steven Adair'in iç soruşturmaya katkıları ve ek bir IoC tespit etmeleri de şirket tarafından kabul edildi.
Önemli Gelişmeler
Rapid7 tarafından 15 Temmuz 2026'da yayınlanan bir takip raporunda, internet'e açık SMA 1000 serisi cihazlara yönelik hedefli zero-day istismarlarının en azından geçen ayın sonundan beri aktif olduğu gözlemlendi. Saldırganların, savunmasız cihazları ele geçirmek için iki açığı birleştirdiği değerlendiriliyor. Rapid7, tehdit aktörlerinin 'çevre birim cihazını gizli bir ilk erişim vektörü olarak kullandığını, geleneksel girdi doğrulama kontrollerini atlayarak işletim sistemi üzerinde komutlar çalıştırdığını' belirtti.
Sonuç ve Değerlendirme
Cihazda bir yer edindikten sonra aktörlerin sistematik olarak yüksek değerli kimlik bilgilerini, aktif oturum veritabanlarını ve TOTP çok faktörlü kimlik doğrulama (MFA) tohum yapılandırmalarını çıkardığı ifade ediliyor. Bu yerel toplama işleminin, standart ağ düzeyindeki düzeltmelerden kurtulabilecek uzun vadeli, kalıcı erişim sağlamak için tasarlandığı belirtiliyor. Tehdit aktörlerinin yanal hareket gerçekleştirdiği, ele geçirilen cihazdan doğrudan iç kurumsal ağa atladığı ve ardından 'anormal, VPN'siz Active Directory kimlik doğrulamaları' yaparak temel etki alanı denetleyicilerini hedef aldığı kaydediliyor.
Bu kimlik doğrulamalarının doğrudan cihazın iç IP adresinden, entegre LDAP hizmet hesabı bağlamında atipik, kurumsal olmayan iş istasyonu istemci adları (örneğin, kali) kullanılarak yapıldığı tespit edildi. Rapid7, 'Karşılık gelen aktif bir VPN tüneli olmadan gerçekleşen bu benzersiz doğrudan makine düzeyinde yanal hareket davranışı, cihazın tamamen ele geçirildiğini ve kurumsal dizin altyapısına izlenmeyen bir arka kapı olarak hareket ettiğini doğruladı' ifadelerini kullandı. Kullanıcıların yamaları hemen uygulaması ve IoC'leri kontrol etmesi kritik önem taşıyor.
Kaynak: thehackernews.com