Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
Bilgisayar korsanları yedekleme güvenlik duvarı tercih dosyalarına erişildi
Akhabokan Akan (Athokan_akhsha) •
19 Eylül 2025
Güvenlik duvarı üreticisi Sonicwall, bilgisayar korsanları güvenlik duvarı yapılandırma yedekleme dosyalarını bulut hizmetinde sakladıktan sonra müşterilere kimlik bilgilerini sıfırlamalarını söylüyor.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Şirket Çarşamba günü yaptığı açıklamada, bilgisayar korsanlarının yedek dosyaları saklayan sunuculara karşı bir dizi kaba kuvvet saldırısı başlattığını söyledi. Sonicwall, yükleme tabanının kabaca% 5’inin yapılandırma verilerini çalmayı başardılar.
Şirket, “Dosyalardaki kimlik bilgileri şifrelenirken, dosyalar ayrıca saldırganların ilgili güvenlik duvarından potansiyel olarak yararlanmasını kolaylaştırabilecek bilgiler de içeriyordu.” Dedi.
Sonicwall, bilgisayar korsanlarının çalınan verilerin hiçbirini çevrimiçi yayınlamadığını söyledi – muhtemelen veriler “tehdit aktörleri tarafından potansiyel daha fazla kullanım” için tutuluyor.
Güvenlik firması Rapid7, “Bu dosyalar tehdit aktörlerine kimlik bilgileri veya jeton gibi kritik bilgiler ve güvenlik duvarının tüm hizmetleri ve yapılandırmalarını sağlayabilir.”
Rapid7 sadece günler önce, sonicwall Sonicos yönetim erişimini ve VPN örneklerini etkileyen bir kimlik doğrulama güvenlik açığı olan CVE-2024-40766’dan yararlanan Akira Fidye Yazılımına bağlı bir kampanyayı ortaya çıkardı. Bazı varsayılan LDAP yapılandırmaları, VPN’ye erişim sağlayabilir ve Active Directory konfigürasyonlarından bağımsız olarak VPN’ye erişmemesi gereken kullanıcıların her neyse elde etmesini sağlayabilir. Oradaki araştırmacılar ayrıca, bilgisayar korsanlarının Sonicwall VPN’lerindeki Sanal Ofis Portalına eriştiklerini ve hesap sahipleri için çok faktörlü kimlik doğrulama veya bir kerelik şifreler oluşturmalarını sağladığını söylüyor.
Güvenlik firması, “Rapid7’nin araştırmaları sırasında toplanan kanıtlar, Akira Grubunun potansiyel olarak bu güvenlik risklerinin üçünün de yetkisiz erişim elde etmek ve fidye yazılımı operasyonları yürütmek için bir kombinasyonunu kullandığını göstermektedir.” Dedi.
Sonicwall, son uzlaşmanın fidye yazılımı ile ilgili olmadığını söyledi. Şirket, müşterileri güvenlik duvarı seri numaralarının etkilenen şekilde listelendiğini kontrol etmek için MySonicwall.com’a giriş yapmaya yönlendirdi. Bu gibi durumlarda şirket, müşterilerin tüm bir kerelik şifreleri ve MFA jetonlarını döndürmesi gerektiğini söyledi.
Kampanya, siber suç grupları kurumsal ağlara ilk erişim elde etmek için kenar cihazlarını hedefledikçe Sonicwall Appliance uzlaşmasının son örneğidir.
Google, Temmuz ayında, bir grubun UNC6148 olarak izlediği bir hack kampanyası konusunda uyardı, bu da daha önce görünmeyen bir rootkit, aşırı yamalı Sonicwall cihazlarına arka kapı erişimini elde etmek için çağıran bir rootkit kullandı (bkz: bkz: bkz: Hackers, kimlik bilgisi hırsızlığı için kötü niyetli Sonicwall VPN kullanan).
Başka bir hack kampanyasında, bilgisayar korsanları, kimlik bilgisi çalan bir Truva atı sunmak için Sonicwall VPN’nin sahte sürümlerini yaydı (bkz:: Hackers, kimlik bilgisi hırsızlığı için kötü niyetli Sonicwall VPN kullanan).