SonicWall, SMA1000 serisi güvenlik duvarı cihazlarında keşfedilen iki güvenlik açığının (CVE-2026-15409 ve CVE-2026-15410) tehdit aktörleri tarafından sıfırıncı gün saldırılarında aktif olarak kullanıldığını duyurdu. Şirket, kullanıcıları derhal güncelleme yapmaya çağırıyor. Bu açıklar, özellikle kurumsal ağlarda ciddi risk oluşturuyor.
CVE-2026-15409, SMA1000 Appliance Work Place arayüzünde bulunan ve CVSS puanı 10.0 olan kritik bir sunucu taraflı istek sahteciliği (SSRF) açığı. Uzaktan ve kimlik doğrulaması olmayan bir saldırganın, cihazı istenmeyen konumlara istek göndermeye zorlamasına olanak tanıyor. Bu açık, saldırganların iç ağdaki diğer sistemlere erişmesine ve hassas verilere ulaşmasına yol açabilir.
CVE-2026-15410 ise SMA1000 Appliance Management Console'da bulunan ve CVSS puanı 7.2 olan yüksek önemde bir kod enjeksiyonu açığı. Kimliği doğrulanmış bir yöneticinin, işletim sistemi düzeyinde komut çalıştırmasına izin veriyor. Her ne kadar bu açık yönetici yetkisi gerektirse de, SonicWall genel CVSS puanını 10.0 olarak belirledi çünkü iki açık birlikte kullanıldığında tam sistem ele geçirme riski oluşuyor.
Sistem Güvenliği
SonicWall, birden fazla olayı araştırdığını ve her iki açığın da aktif olarak istismar edildiğini doğruladı. Şirket, 'Müşterilerin bu açıkları gidermek için en kısa sürede yama sürümüne yükseltmeleri şiddetle tavsiye edilir' uyarısında bulundu. Ancak, saldırganların bu iki açığı bir zincirleme saldırıda kullanıp kullanmadığı henüz açıklanmadı. BleepingComputer konuyla ilgili SonicWall'a ulaştı, yanıt gelirse haber güncellenecek.
Nasıl Önlem Alınmalı?
Açıklardan etkilenen modeller SMA1000 6210, 7210 ve 8200v. Platform-hotfix sürümleri 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 ve 12.5.0-02800 güvenlik açığı içeriyor. Düzeltmeler, 12.4.3-03453 ve 12.5.0-02835 ve sonraki sürümlerde mevcut. SonicWall, bu açıkların SSL-VPN veya SMA 100 Serisi ürünlerini etkilemediğini belirtti.
Gelecekte Ne Bekleniyor?
SonicWall, yöneticilerin cihazlarının güvenliğinin ihlal edilip edilmediğini kontrol etmek için kullanabilecekleri tehlike göstergeleri (IOC'ler) paylaştı: extraweb_access.log dosyasında /__api__/login veya /__api__/logout isteklerine HTTP 200 yanıtı alınması; extraweb_access.log dosyasında /wsproxy isteklerine şüpheli host parametreleriyle HTTP 101 yanıtı alınması; ctrl-service.log dosyasında path traversal içeren hotfix rollback kayıtları; /var/lib/unit/conf.json dosyasında /__api__/login veya /__api__/logout rotalarının bulunması (bu URI'ler meşru yapılandırmada yer almaz). Cihazınızda bu belirtiler varsa, derhal en son yamayı yükleyin ve güvenlik analizi yapın.
Eğer bir cihazın güvenliği ihlal edilmişse, SonicWall fiziksel cihazların yeniden imajlanmasını veya sanal cihazların yeniden dağıtılmasını, tüm kullanıcı ve yönetici şifrelerinin değiştirilmesini ve TOTP token'larının sıfırlanmasını öneriyor. Bu açıklar için geçici çözüm veya azaltma yöntemi bulunmuyor; tek çözüm yamaları uygulamak. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki açığı da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Federal kurumların, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında 17 Temmuz 2026'ya kadar etkilenen sistemleri güvence altına alması veya ürünü kullanımdan kaldırması gerekiyor.
Kaynak: bleepingcomputer.com