SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazları etkileyen iki sıfır gün açığının aktif olarak kullanıldığı konusunda uyarıda bulundu. Bu açıklardan biri, kimliği doğrulanmamış bir saldırganın cihazda isteğe bağlı yönetici komutları çalıştırmasına olanak tanıyabiliyor. Şirket, müşterilerini acilen yamaları uygulamaya çağırıyor.
Açıklar şu şekilde sıralanıyor: CVE-2026-15409 (CVSS 10.0) - Sunucu taraflı istek sahteciliği (SSRF) zafiyeti; uzaktaki kimliği doğrulanmamış bir saldırganın cihazın isteklerini istenmeyen bir konuma yönlendirmesine izin veriyor. CVE-2026-15410 (CVSS 7.2) - Kimlik doğrulaması sonrası kod enjeksiyonu zafiyeti; Appliance Management Console (AMC) üzerinden yetkili bir saldırganın belirli koşullar altında yönetici olarak işletim sistemi komutları çalıştırmasına olanak tanıyor.
SonicWall, 'açıkların aktif olarak kullanıldığını gösteren birden fazla vakayı araştırdığını' belirterek, müşterilerin düzeltmeleri mümkün olan en kısa sürede uygulamasını istedi. Yamalar aşağıdaki sürümlerde mevcut: 12.4.3-03453 (platform-hotfix) ve üzeri; 12.5.0-02835 (platform-hotfix) ve üzeri. Kullanıcıların ayrıca sistemlerini kapsamlı bir adli analizden geçirmeleri öneriliyor.
Saldırı belirtileri olarak şunlar sıralanıyor: extraweb_access.log dosyasında /__api__/login veya /__api__/logout yollarına HTTP 200 durumu ile istekler; extraweb_access.log dosyasında /wsproxy yoluna şüpheli host parametreleriyle HTTP 101 durumu; ctrl-service.log dosyasında path traversal içeren hotfix geri alma işlemleri; /var/lib/unit/conf.json dosyasında /__api__/login veya /__api__/logout yollarının bulunması (bu URI'ler meşru yapılandırmada yer almaz). Bu belirtilerden biri varsa, fiziksel cihazların yeniden imajlanması veya sanal cihazların yeniden dağıtılması, kullanıcı ve yönetici şifrelerinin değiştirilmesi, zaman tabanlı tek kullanımlık şifre (TOTP) token'larının sıfırlanması öneriliyor.
Sonuç ve Değerlendirme
Açıkların keşfi SonicWall PSIRT ekibinden Adam Babis'e atfedilirken, Volexity'den Sean Koessel ve Steven Adair'in iç soruşturmaya katkıları ve ek bir IOC belirlemeleri takdirle karşılandı. Bu gelişmeler üzerine ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki açığı da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve Federal Sivil Yürütme Organı (FCEB) birimlerinin düzeltmeleri 17 Temmuz 2026'ya kadar uygulamasını zorunlu kıldı.
Teknik Analiz
Rapid7 tarafından 15 Temmuz 2026'da yayınlanan bir takip raporunda, internet üzerinden erişilebilen SMA 1000 serisi cihazlara yönelik en az geçen ayın sonundan bu yana aktif, hedefli sıfır gün saldırıları gözlemlendiği belirtildi. Saldırganların iki açığı birleştirerek savunmasız cihazların kontrolünü ele geçirdiği değerlendiriliyor. Rapid7, tehdit aktörlerinin çevre birimini gizli bir ilk erişim vektörü olarak kullandığını, geleneksel girdi doğrulama kontrollerini atlayarak işletim sisteminde komutlar çalıştırdığını belirtiyor.
Cihazda bir yer edindikten sonra tehdit aktörlerinin yüksek değerli kimlik bilgilerini, aktif oturum veritabanlarını ve TOTP çok faktörlü kimlik doğrulama (MFA) tohum yapılandırmalarını sistematik olarak topladığı ifade ediliyor. Bu yerel toplama işleminin, standart ağ düzeyindeki düzeltmelerden kurtulabilecek uzun vadeli, kalıcı erişim sağlamayı amaçladığı vurgulanıyor. Ayrıca, tehdit aktörlerinin yanal hareket gerçekleştirdiği, güvenliği ihlal edilmiş cihazdan doğrudan iç kurumsal ağa atladığı ve ardından 'anormal, VPN'siz Active Directory kimlik doğrulamaları' ile hedef etki alanı denetleyicilerine yöneldiği belirtiliyor. Bu kimlik doğrulamalarının cihazın dahili IP adresinden kaynaklandığı ve entegre LDAP hizmet hesabı bağlamında atipik, kurumsal olmayan iş istasyonu istemci adları (ör. kali) kullandığı tespit edildi.
Kaynak: thehackernews.com