SonicWall, SMA1000 serisi güvenlik cihazlarında iki kritik güvenlik açığının sıfırıncı gün saldırılarında aktif olarak kullanıldığını duyurdu. Şirket, kullanıcıları derhal yayınlanan güvenlik güncellemelerini yüklemeye çağırıyor. CVE-2026-15409 ve CVE-2026-15410 olarak izlenen bu açıklar, uzaktan kod çalıştırma ve sunucu taraflı istek sahteciliği (SSRF) gibi ciddi riskler taşıyor.
CVE-2026-15409, SMA1000 Appliance Work Place arayüzünde bulunan ve CVSS puanı 10.0 olan kritik bir sunucu taraflı istek sahteciliği (SSRF) güvenlik açığı. Bu açık, kimliği doğrulanmamış bir saldırganın cihazı istenmeyen konumlara istek göndermeye zorlamasına olanak tanıyor. Diğer açık olan CVE-2026-15410 ise CVSS puanı 7.2 olan yüksek önem derecesine sahip bir kimlik doğrulama sonrası kod enjeksiyonu güvenlik açığı. Bu açık, uzaktan kimliği doğrulanmış bir yöneticinin işletim sistemi komutlarını çalıştırmasına izin veriyor.
SonicWall, bu güvenlik açıklarının aktif olarak istismar edildiğini doğruladı. Şirket, birden fazla olayı incelediğini ve her iki açığın da saldırganlar tarafından kullanıldığını tespit ettiğini belirtti. Ancak, saldırganların bu açıkları birbirine zincirleyerek kullanıp kullanmadığı henüz netlik kazanmadı. BleepingComputer, konuyla ilgili SonicWall'den açıklama bekliyor.
Sistem Güvenliği
Güvenlik açıkları, SMA1000 model 6210, 7210 ve 8200v cihazlarını etkiliyor. Etkilenen yazılım sürümleri arasında 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 ve 12.5.0-02800 bulunuyor. Düzeltmeler, platform-hotfix sürümleri 12.4.3-03453 ve 12.5.0-02835 ile birlikte sunuldu. SonicWall, bu açıkların SSL-VPN veya SMA 100 Serisi ürünlerini etkilemediğini de vurguladı.
Nasıl Önlem Alınmalı?
SonicWall, yöneticilerin cihazlarının güvenliğinin ihlal edilip edilmediğini belirlemek için kullanabileceği tehlike göstergeleri (IOC) paylaştı. Bu göstergeler arasında extraweb_access.log dosyasında /__api__/login veya /__api__/logout isteklerinin HTTP 200 durumuyla görülmesi, /wsproxy isteklerinde şüpheli host parametreleriyle HTTP 101 durumu, ctrl-service.log dosyasında gezinme yolu ile hotfix geri almaları ve /var/lib/unit/conf.json dosyasında /__api__/login veya /__api__/logout yollarının bulunması yer alıyor.
SonicWall, kullanıcıların en son hotfix sürümüne yükseltme yapmalarını ve yukarıdaki IOC'leri kontrol etmelerini şiddetle tavsiye ediyor. Cihazın güvenliğinin ihlal edildiği tespit edilirse, fiziksel cihazların yeniden görüntülenmesi veya sanal cihazların yeniden dağıtılması, tüm kullanıcı ve yönetici parolalarının değiştirilmesi ve TOTP token'larının sıfırlanması öneriliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), her iki güvenlik açığını da Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Federal kurumların, Bağlayıcı Operasyonel Direktif (BOD) 26-04 kapsamında 17 Temmuz 2026'ya kadar etkilenen sistemleri güvence altına alması veya ürünü kullanmayı bırakması gerekiyor. SonicWall, bu açıklar için geçici çözüm veya azaltma yöntemi bulunmadığını, yalnızca güncelleme yapılması gerektiğini belirtti.
Kaynak: bleepingcomputer.com