SonicWall, olası sıfırıncı gün açığı istismarı nedeniyle SSLVPN hizmetinin devre dışı bırakılmasını önerdi

SonicWall, son haftalarda artan siber saldırılar nedeniyle Gen 7 güvenlik duvarlarında SSLVPN hizmetinin devre dışı bırakılmasını tavsiye etti. Şirketin açıklaması, Arctic Wolf Labs’in 15 Temmuz’dan bu yana Akira fidye yazılımı ile gerçekleştirilen ve olası bir SonicWall sıfırıncı gün açığı kullanılarak yapılan saldırıları raporlamasının ardından geldi.

Arctic Wolf, saldırıların ilk erişim yönteminin henüz netleşmediğini, ancak kimlik bilgisi hırsızlığı, brute force, sözlük saldırıları ve kimlik bilgisi doldurma yöntemlerinin tüm vakalarda kesin olarak dışlanmadığını belirtti. Yine de sıfırıncı gün açığının varlığı “yüksek olasılıklı” olarak değerlendirildi.

Huntress tarafından yapılan ayrı bir analizde, SonicWall VPN’lerde çok faktörlü kimlik doğrulamayı atlatabilen ve fidye yazılımı dağıtabilen bir açığın aktif olarak istismar edildiği bildirildi. Huntress, VPN hizmetinin tamamen devre dışı bırakılmasını veya IP allow-listing yöntemiyle erişimin kısıtlanmasını önerdi. Şirket, saldırganların ilk ihlalin ardından saatler içinde etki alanı denetleyicilerine yöneldiğini vurguladı.

SonicWall, müşterilere şu önlemleri almalarını tavsiye etti:

• SSLVPN hizmetini mümkünse devre dışı bırakmak,
• Erişimi yalnızca güvenilir IP adresleriyle sınırlandırmak,
• Botnet Koruması ve Coğrafi IP Filtreleme gibi güvenlik servislerini etkinleştirmek,
• Tüm uzak erişimlerde MFA kullanmak,
• Kullanılmayan hesapları silmek.

Şirket, son 72 saatte SSLVPN açık olan Gen 7 güvenlik duvarlarını hedef alan vakalarda artış yaşandığını belirterek, olayların bilinen bir açıkla mı yoksa yeni bir güvenlik açığıyla mı bağlantılı olduğunun araştırıldığını duyurdu.

SonicWall, kısa süre önce SMA 100 cihazları için uzaktan kod çalıştırmaya yol açabilecek kritik bir güvenlik açığını (CVE-2025-40599) da yamalama uyarısı yapmıştı.

Kaynak: CUMHA - CUMHUR HABER AJANSI