SonicWall SMA 1000'de Kritik Açıklar: Saldırganlar Yönetici Yetkisiyle Komut Çalıştırabiliyor Yazılım

SonicWall SMA 1000'de Kritik Açıklar: Saldırganlar Yönetici Yetkisiyle Komut Çalıştırabiliyor

SonicWall, SMA 1000 serisi cihazlarda aktif olarak istismar edilen iki zero-day açığı için acil güncelleme yayınladı. Kritik açıklardan biri yönetici

SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazları etkileyen iki zero-day güvenlik açığının aktif olarak istismar edildiğini duyurdu. Açıklardan biri, saldırganların cihazda yönetici yetkisiyle rastgele komut çalıştırmasına olanak tanıyabiliyor. Şirket, müşterilerini en kısa sürede güncelleme yapmaya çağırıyor.

İlk açık olan CVE-2026-15409, 10.0 CVSS puanıyla kritik seviyede. Sunucu taraflı istek sahteciliği (SSRF) zafiyeti olarak tanımlanan bu açık, kimliği doğrulanmamış uzaktaki bir saldırganın cihazı istenmeyen bir konuma istek göndermeye zorlamasına izin veriyor. Bu durum, iç ağlara erişim veya hassas verilerin sızdırılması gibi ciddi sonuçlar doğurabilir.

İkinci açık CVE-2026-15410 ise 7.2 CVSS puanına sahip ve kimlik doğrulaması gerektiriyor. Cihaz Yönetim Konsolu'nda (AMC) bulunan kod enjeksiyonu zafiyeti, kimliği doğrulanmış bir saldırganın belirli koşullar altında yönetici olarak işletim sistemi komutları çalıştırmasına olanak tanıyor. Bu açık, saldırganın cihazın tam kontrolünü ele geçirmesine yol açabilir.

SonicWall, bu açıkların aktif olarak istismar edildiğine dair birden fazla vaka tespit etti. Şirket, kullanıcıların aşağıdaki sürümlere güncelleme yapmasını öneriyor: 12.4.3-03453 (platform-hotfix) ve üzeri, 12.5.0-02835 (platform-hotfix) ve üzeri. Ayrıca, sistemde herhangi bir saldırı izi olup olmadığını kontrol etmek için kapsamlı bir adli analiz yapılması tavsiye ediliyor.

Saldırı tespiti için şu belirtilere dikkat edilmesi gerekiyor: extraweb_access.log dosyasında /__api__/login veya /__api__/logout isteklerinin HTTP 200 durumuyla görülmesi; extraweb_access.log'da şüpheli host parametreleriyle /wsproxy isteklerinin HTTP 101 durumuyla görülmesi; ctrl-service.log'da path traversal adlarıyla hotfix geri alma işlemlerinin kaydedilmesi; /var/lib/unit/conf.json dosyasında /__api__/login veya /__api__/logout rotalarının bulunması (bu URI'ler meşru yapılandırmada yer almaz).

Teknik Analiz

Eğer bu göstergelerden herhangi biri tespit edilirse, fiziksel cihazların yeniden imajlanması veya sanal cihazların yeniden dağıtılması, kullanıcı ve yönetici şifrelerinin değiştirilmesi ve zaman tabanlı tek kullanımlık şifre tokenlarının sıfırlanması öneriliyor. Bu önlemler, saldırganın kalıcı erişim sağlamasını engellemek için kritik öneme sahip.

Açıklar, SonicWall PSIRT ekibinden Adam Babis tarafından keşfedilip raporlanırken, Volexity'den Sean Koessel ve Steven Adair'in iç soruşturmaya katkıları ve ek IoC tespiti için teşekkür edildi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki açığı da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumların 17 Temmuz 2026'ya kadar güncelleme yapmasını zorunlu kıldı.

Gelecekte Ne Bekleniyor?

SonicWall SMA 1000 kullanıcıları, bu kritik güvenlik açıklarına karşı derhal harekete geçmeli ve güncellemeleri uygulamalıdır. Ayrıca, sistemlerinde yukarıda belirtilen saldırı izlerini kontrol etmeli ve şüpheli durumlarda gerekli adli analizleri yapmalıdır. Unutmayın, siber güvenlikte proaktif olmak, saldırılara karşı en etkili savunma yöntemidir.

Kaynak: thehackernews.com

Paylaş: