Sonicwall, yeni nesil güvenlik duvarlarında kritik bir kusur olan CVE-2024-40766’yı düzenlemesinden bir yıl sonra, fidye yazılımı saldırganları, organizasyonlarda bundan yararlanarak hala bir dayanak kazanıyor.
Geçen Eylül ve bu yılın başlarında olduğu gibi, saldırganlar Akira fidye yazılımının hizmet olarak kıyafetinin bağlı kuruluşlarıdır.
Saldırılardaki Temmuz 2025 artışı, Sonicwall’a göre, kuruluşların Gen 6’dan Gen 7 güvenlik duvarlarına göç ettiği, ancak yerel kullanıcı şifrelerini sıfırlamaması gerçeğiyle kolaylaştırıldı (güvenlik duvarı üreticisi tarafından önerildiği gibi).
Bu sefer, Akira iştirakleri de güvenlik duvarı ile ilgili diğer “hilelerden” yararlanıyor.
“O zamandan beri [early August 2025]Rapid7 Olay Müdahale Ekibi, Sonicwall cihazlarını içeren müdahalelerde bir artış gözlemledi. ”Rapid7 Çarşamba günü paylaştı ve topladıkları kanıtın Akira Grubunun yetkisiz erişim ve fidye yazılımı operasyonları kazanmak için üç ayrı güvenlik riskinin bir kombinasyonunu kullanabileceğini gösterdiğini söyledi.
Birincisi CVE-2024-40766’dır, hala bazı sistemlerde açılmıştır.
İkincisi, cihazın SSLVPN varsayılan kullanıcılar grubu ayarındaki yanlış yapılandırmadan kaynaklanır.
“Bu ayar, Active Directory’deki gerçek üyeliklerine bakılmaksızın, önceden tanımlanmış her LDAP kullanıcısını otomatik olarak önceden tanımlanmış bir yerel gruba ekler. Bu varsayılan grubun SSL VPN, idari arayüzler veya sınırsız ağ bölgeleri gibi hassas hizmetlere erişimi varsa – daha sonra, bu hizmetler için hiçbir meşru ihtiyaç duyulmayan herhangi bir tehlikeye atılmış reklam hesabı bile, bu izinleri anında açıklar”.
“Bu, hedeflenen reklam grubu tabanlı erişim kontrollerini etkili bir şekilde atlar ve saldırganlara geçerli kimlik bilgileri alır almaz ağ çevresine doğrudan bir yol verir.”
Üçüncüsü, saldırganların MFA/TOTP’yi daha önce tehlikeye atılan kullanıcı hesaplarında yapılandırmak için eriştiği ve kullandığı Sonicwall Aletleri tarafından barındırılan sanal ofis portalıdır.
Ne yapalım?
Avustralya Siber Güvenlik Merkezi, Akira saldırılarında CVE-2024-40766 aracılığıyla yeniden düzenlenen Avustralya organizasyonlarında yeni bir artış hakkında da uyardı.
Rapid7’nin müdahalecilerine göre, grubun iştirakleri denenmiş ve gerçekleriyle devam etti. çalışma modu: SSLVPN bileşeni aracılığıyla intertial erişim, ayrıcalıkları yükseltilmiş bir hesap veya hizmet hesabına yükseltirler, ağ paylaşımlarından veya dosya sunucularından hassas dosyaları bulun ve dışarı atarlar, yedeklemeleri silip durdururlar ve son olarak fidye yazılımlarını hipervisor düzeyinde dağıtırlar.
Sonicwall güvenlik duvarlarını kullanan kuruluşlar, tüm Sonicwall yerel hesaplarında şifreleri döndürmeli ve kullanılmayanları kaldırmalı ve Sonicwall SSLVPN hizmetleri için MFA/TOTP politikalarını yapılandırmalıdır.
Onlar da:
- Varsayılan LDAP kullanıcı grubunu “Yok” olarak ayarlayın
- Sanal Ofis Portalı’nın yalnızca güvenilir (yerel) ağlardan erişilebilir olduğundan ve buna erişimi izleyebildiğinden emin olun
- Tüm Sonicwall cihazlarının en son yamada çalıştığından emin olun
Geçen ay Sonicwall tarafından belirtildiği gibi, yakın zamanda yayınlanan Sonicos sürüm 7.3.0 ayrıca kaba kuvvet saldırılarına karşı gelişmiş korumalar ve ek MFA kontrolleri de içeriyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!