Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Fidye Yazılımı
Uzmanlar, Birleşme ve Satın Alma Etkinliği Yoluyla SSL VPN’leri Miras Alan İşletmelerin Mağdur Olduğunu Uyarıyor
Mathew J. Schwartz (euroinfosec) •
26 Kasım 2025
Bir fidye yazılımı operasyonu, küçük işletmelere yönelik ağ güvenlik cihazlarının peşine düşerek büyük şirketleri hedef alabileceğini keşfetti. SonicWall SSL VPN cihazlarının pazarı genellikle küçük ve orta ölçekli firmalardan oluşuyor; ancak bu işletmeler daha büyük işletmeler tarafından satın alındığında, cihazlar birdenbire bilgisayar korsanları için gerçek para değerinde bir ağın parçası haline geliyor.
Ayrıca bakınız: En Son MITRE ATT&CK Değerlendirmelerine İlişkin Tam Kılavuz
Çoğu zaman yanlış yapılandırılmış ve sorunlu olan SonicWall cihazları, yine de dağıtım kolaylığı ve uzaktan erişim özellikleri nedeniyle popülerdir. Bu, grubun bu yaz büyük şirketlere katlanmış gözden kaçan cihazları patlatarak geçirdiği Akira hizmet olarak fidye yazılımı operasyonu için bilgisayar korsanları tarafından da ödüllendirilen bir kombinasyon.
Siber güvenlik firması ReliaQuest’in Salı günkü bir raporunda, “Bu yalnızca gizli teknolojilerin birleşme ve satın alma sırasında gözden kaçmasıyla ilgili olağan bir hikaye değil. Bu saldırılar, büyük kuruluşlarda nadir görülen ancak küçük kuruluşlarda yaygın olan SonicWall cihazlarına karşı kasıtlı ve hedefli bir kampanyanın parçasıydı” denildi.
Çok sayıda veri ihlali, devralınan BT ortamlarının daha geniş bir kuruluşun siber güvenliği için ne kadar ciddi bir risk oluşturabileceğinin altını çizdi. Uzmanlar, satın alma yapan kuruluşlara, kullandıkları her türlü BT donanımının eksiksiz bir varlık envanterini oluşturmalarını ve bunları güvende tutmalarını tavsiye ediyor.
Haziran’dan Ekim ayına kadar büyük kuruluşları etkileyen her Akira saldırısına ilişkin ReliaQuest analizi, saldırganların ilk erişimi SonicWall güvenlik açığından yararlanarak elde ettiğini gösterdi. Buradan, yönetici oturum açma bilgileri veya önceki yönetilen hizmet sağlayıcı kimlik bilgileri gibi mevcut ayrıcalıklı hesapları aradılar. “En önemlisi, bu kimlik bilgileri genellikle satın alan şirket tarafından bilinmiyordu ve satın alma sonrasında izlenmeden ve değiştirilmeden bırakılıyordu.”
Yönetici hesaplarının kullanılması hızlı saldırıları kolaylaştırabilir; firma, tehdit aktörlerinin ilk erişimden eski yönetici kimlik bilgilerini kullanmaya, etki alanı denetleyicisine erişim sağlamaya ve kripto kilitlemeli Akira kötü amaçlı yazılımını serbest bırakmaya kadar ortalama yalnızca 9,3 saat harcadığını tespit etti. Bu türden en hızlı saldırı yalnızca beş saat içinde gerçekleşti.
Akira’nın yakın zamanda birleşme veya satın alma sürecinden geçen firmaları mı takip ettiği yoksa mağduriyetin tesadüf mü olduğu belli değil.
ReliaQuest’in raporu, Akira kullanan saldırganların SonicWall SSL VPN güvenlik açıklarından hangilerini hedeflediğini detaylandırmıyordu. Ancak uyarı, Eylül ayında siber güvenlik firması Rapid7’nin, Akira’ya bağlı saldırganların SonicWall SonicOS’te uzaktan kod yürütülmesini kolaylaştıran ve tüm cihazın güvenliğinin ihlal edilmesine yol açan uygunsuz bir erişim kontrolü güvenlik açığı olan CVE-2024-40766’yı hedeflemeye devam ettiği yönündeki uyarısının ardından geldi.
CVE-2024-40766 Hedeflemeyi Tekrarla
SonicWall, Ağustos 2024’te Gen 5, Gen 6 ve Gen 7 güvenlik duvarlarındaki kusuru yamaladı ancak birçok cihaz hala savunmasız durumda. Bu, yamaların artık yayınlanmadığı ve kullanımda kalan kullanım ömrü sonu donanımlarını da içerir.
Akira, CVE-2024-40766’yı ilk kez kabaca Eylül ayından Aralık 2024’e kadar süren kampanyalarda kullanmaya başladı; ancak Fog fidye yazılımı grubunun bilgisayar korsanları da bu güvenlik açığını desteklediği için bu konuda benzersiz değildi.
Siber güvenlik firması Arctic Wolf’un bildirdiğine göre, kusuru hedef alan Akira saldırılarında geçen yaz başlayan ikinci bir artış, temmuz sonundan en az eylül ayına kadar devam etti ve çok sayıda sektördeki kurbanları topladı; bu da “hedefli izinsiz girişlerden ziyade fırsatçı kitlesel sömürüyü” akla getiriyor.
Güvenlik uzmanları, en son donanım yazılımını çalıştıran tamamen yama uygulanmış cihazların bile tehlikeye girdiği konusunda uyardı; bunun nedeni, cihazlar tek seferlik şifreler gerektirecek şekilde yapılandırılmış olsa bile yöneticilerin kimlik bilgilerini döndürmeyi ihmal etmesiydi.
Müşterilere, hala desteklenen ekipmanlarını kilitlemek için yama uygulamasının ötesinde birden fazla adımı izlemeleri önerildi. SonicWall, bu adımların, “yerel hesaplara sahip tüm SSLVPN kullanıcıları” için şifrelerin sıfırlanmasını da içerdiğini, bunun nedeninin kısmen “olayların çoğunun, yerel kullanıcı şifrelerinin geçiş sırasında taşındığı ve sıfırlanmadığı Gen 6’dan Gen 7 güvenlik duvarlarına geçişle ilgili olduğunu” söyledi.
Satıcı Ekim ayında, desteklenen cihazlar için, kaba kuvvetle oturum açma girişimlerini daha iyi azaltabilen ve parola karmaşıklığını daha iyi hale getirebilen SonicOS 7.3 ve 8.0.3 biçiminde güncellenmiş donanım yazılımını piyasaya sürdü. Diğer savunma önerileri arasında MFA’nın etkinleştirilmesi, SSLVPN oturum açma olaylarının günlüğe kaydedilmesi, güvenlik duvarının “belirli sayıda başarısız oturum açma girişiminden sonra kullanıcı hesaplarını otomatik olarak kilitleyecek şekilde” yapılandırılması yer alıyor.
SonicWall ayrıca erişim kontrolünün güçlendirilmesini de önerir. “Potansiyel etkiyi en aza indirmek için, güvenlik duvarı yönetimini güvenilir kaynaklarla sınırlamanızı veya güvenlik duvarı WAN yönetimini internet erişiminde devre dışı bırakmanızı öneririz. Benzer şekilde, SSLVPN için lütfen erişimin güvenilir kaynaklarla sınırlı olduğundan emin olun veya internetten SSLVPN erişimini devre dışı bırakın.”