SonicWall'den Kritik Uyarı: SMA 1000 Cihazlarını Hedef Alan İki Sıfırıncı Gün Açığı Aktif Olarak Kullanılıyor Dünya Geneli

SonicWall'den Kritik Uyarı: SMA 1000 Cihazlarını Hedef Alan İki Sıfırıncı Gün Açığı Aktif Olarak Kullanılıyor

SonicWall, SMA 1000 güvenlik cihazlarını hedef alan iki sıfırıncı gün açığının aktif olarak istismar edildiğini duyurdu. CVE-2026-15409 ve CVE-2026-15

SonicWall, Secure Mobile Access (SMA) 1000 serisi cihazları etkileyen iki sıfırıncı gün güvenlik açığının aktif olarak istismar edildiğini doğruladı. Şirketin PSIRT ekibi tarafından keşfedilen ve Adam Babis tarafından raporlanan bu zafiyetler, birden fazla olay incelemesi sonucunda teyit edildi. Saldırganların bu açıkları kullanarak cihazlara yetkisiz erişim sağladığı ve çeşitli kötü amaçlı faaliyetler gerçekleştirdiği tespit edildi.

İlk zafiyet, CVE-2026-15409 (CVSS puanı 10.0) olarak izleniyor ve Server-Side Request Forgery (SSRF) türünde bir güvenlik açığı. Bu açık, kimlik doğrulaması yapmamış uzaktaki bir saldırganın SMA 1000 cihazının Work Place arayüzünü kullanarak istenmeyen konumlara istek göndermesine olanak tanıyor. SSRF zafiyetleri genellikle iç ağlara erişim, port tarama veya hassas verilere ulaşma gibi saldırılarda kullanılır. Bu açığın CVSS puanının 10.0 olması, kritik önemini vurguluyor.

İkinci zafiyet ise CVE-2026-15410 (CVSS puanı 7.2) olarak kaydedildi ve Appliance Management Console (AMC) üzerinde post-authentication kod enjeksiyonu zafiyeti olarak tanımlanıyor. Bu açık, kimlik doğrulaması yapmış bir yöneticinin belirli koşullar altında hedef sistemde rastgele işletim sistemi komutları çalıştırmasına izin veriyor. Yani saldırgan, öncelikle yönetici hesabına erişim sağlamalı, ardından bu zafiyeti kullanarak tam yetki elde edebiliyor.

SonicWall PSIRT, yaptığı incelemelerde bu açıkların aktif olarak kullanıldığını belirtirken, etkilenen ürünlerin SMA 1000 modelleri (6210, 7210, 8200v) olduğunu ve 12.4.3-03245, 12.4.3-03387, 12.4.3-03434 ile 12.5.0-02283, 12.5.0-02624, 12.5.0-02800 sürümlerinin risk altında olduğunu açıkladı. Şirket, sorunu gideren güncellemeleri 12.4.3-03453 ve 12.5.0-02835 (platform-hotfix) ve üzeri sürümlerde yayınladı.

Müşterilere, sistem loglarını saldırı belirtileri açısından incelemeleri öneriliyor. Özellikle login/logout API uç noktalarına yapılan olağandışı istekler, şüpheli WebSocket proxy bağlantıları, path traversal teknikleri kullanılarak yapılan hotfix geri alma işlemleri veya cihaz yapılandırmasında yetkisiz API rotaları gibi göstergeler aranmalı. Ayrıca, Volexity'den Sean Koessel ve Steven Adair'in PSIRT soruşturmasına katkıları sayesinde ek IOC'ler (saldırı göstergeleri) tespit edildi.

SonicWall, kullanıcıları en kısa sürede güncellemeyi yapmaya çağırırken, şu adımları da öneriyor: En son hotfix sürümüne yükseltme yapılmalı, tam bir adli bilişim incelemesi gerçekleştirilmeli, eğer ihlal doğrulanırsa cihaz yeniden imajlanmalı veya yeniden dağıtılmalı, tüm kullanıcı ve yönetici parolaları sıfırlanmalı ve TOTP tokenları yeniden kaydedilmelidir.

Bu olay, Aralık ayında SonicWall'ın başka bir SMA 1000 AMC zafiyetini (CVE-2025-23006 ile birlikte kullanılan local privilege escalation) sıfırıncı gün olarak uyardığını hatırlatıyor. Bu tür ardışık saldırılar, kurumsal güvenlik duvarlarının ve uzaktan erişim çözümlerinin hedef alındığını gösteriyor. Güvenlik uzmanları, özellikle VPN ve uzaktan erişim cihazlarının güncel tutulmasının ve çok faktörlü kimlik doğrulama gibi ek güvenlik katmanlarının kullanılmasının önemini vurguluyor.

Kaynak: securityaffairs.com

Paylaş: