SonicWall, 22 Ağustos 2024’te SonicOS’ta kritik bir uzaktan kod yürütme güvenlik açığını (CVE-2024-40766) açıkladı.
Başlangıçta aktif bir istismar doğrulanmasa da, 6 Eylül’de potansiyel aktif saldırıları belirtmek için duyuru güncellendi.
Hem yönetim erişimini hem de yerel SSLVPN hesaplarını etkileyen güvenlik açığı, saldırganların güvenlik açığı bulunan cihazlarda keyfi kod yürütmesine olanak tanıyor ve bu da veri hırsızlığı, ağ kesintisi ve daha fazla kötü amaçlı faaliyet dahil olmak üzere tam bir tehlikeye yol açabilir.
Akira fidye yazılımı iştirakleri tarafından gerçekleştirilen son saldırılarda, saldırganların MFA’sı olmayan bu cihazlardaki yerel hesapları ele geçirerek yetkisiz erişim elde etmek için kullandığı SonicWall SSLVPN cihazlarındaki güvenlik açıklarından yararlanıldı.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Etkilenen cihazlar savunmasız SonicOS aygıt yazılımı sürümlerini çalıştırıyordu. Bu riski azaltmak için kuruluşlar derhal en son SonicOS aygıt yazılımına yükseltmeli ve tüm yerel SSLVPN hesapları için MFA’yı etkinleştirmelidir.
SOHO (5. Nesil), 6. Nesil ve diğerleri de dahil olmak üzere çeşitli SonicWall güvenlik duvarları için SonicOS aygıt yazılımı, SonicOS 5.9.2 ve 6.5.4’ün eski sürümlerinde bulunan kötü niyetli kişiler tarafından istismar edilebilecek güvenlik açıkları içeriyor.
SonicWall, bu güvenlik sorunlarını gidermek için güncellenmiş aygıt yazılımı sürümlerini (5.9.2.14-13o ve 6.5.2.8-2n/6.5.4.15.116n) yayınladı ve bu güvenlik duvarlarını kullananların sistemlerini olası saldırılardan korumak için aygıt yazılımlarını en son sürüme güncellemeleri önemle tavsiye edilir.
SonicOS 7.0.1-5035 ve daha eski sürümlerini çalıştıran Gen7 Güvenlik Duvarlarında, yetkisiz bir saldırganın güvenlik duvarının yönetim arayüzüne yetkisiz erişim elde etmesine olanak sağlayabilecek bir güvenlik açığı tespit etmişlerdi.
Bu riski azaltmak için bu güvenlik duvarlarının kullanıcılarının SonicOS aygıt yazılımının en son sürümü olan 7.0.1-5072 veya sonraki bir sürümüne güncellemeleri önerilir; bu risk, 7.0.1-5035’ten yüksek SonicOS sürümlerinde mevcut değildir.
Gen5 ve Gen6 cihaz kullanıcılarına, yetkisiz erişimlerin önlenmesi amacıyla SSLVPN hesap şifrelerini sıfırlamaları önerildi.
Bu öneriye uymak için yöneticiler, yerel olarak yönetilen tüm hesaplar için “Kullanıcı parolayı değiştirmeli” seçeneğini manuel olarak etkinleştirmelidir; bu, kullanıcıların bir sonraki oturum açışlarında parolalarını sıfırlamalarını zorunlu kılacaktır.
Aynı parolaların Active Directory veya diğer merkezi kimlik doğrulama çözümlerinde kullanıldığını varsayalım. Bu durumda, yöneticiler kullanıcıların parolalarını bu konumlarda da güncellemelerini sağlayarak olası gelecekteki saldırıları önlemelidir.
SonicWall güvenlik duvarlarındaki tüm yerel SSLVPN hesapları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek üzere, GEN5 güvenlik duvarları için Kullanıcılar > Yerel Kullanıcılar’a veya GEN6 güvenlik duvarları için YÖNET | Sistem Kurulumu > Kullanıcılar > Yerel Kullanıcılar ve Gruplar’a gidin.
Arctic Wolf’a göre SonicWall, güvenliği artırmak için yerel olarak yönetilen tüm SSLVPN hesapları için MFA’nın etkinleştirilmesini öneriyor.
Güvenlik risklerini azaltmak için, internet üzerinden WAN yönetimi ve SSLVPN erişiminin devre dışı bırakılması öneriliyor. Bu sayede, yetkisiz erişim ve olası siber saldırıların olasılığı önemli ölçüde azaltılarak, uzaktan yapılandırma değişiklikleri ve güvenilmeyen kaynaklardan gelen SSLVPN bağlantıları engelleniyor.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir