Yakın zamanda yapılan bir araştırma, Akira ve Fog fidye yazılımı gruplarının, kuruluşların güvenliğini tehlikeye atmak için SonicWall NSA güvenlik açığından (CVE-2024-40766) aktif olarak yararlandığını ortaya çıkardı.
23 Aralık 2024 itibarıyla 100’den fazla şirketin bu güvenlik açığı nedeniyle bu grupların mağduru olduğundan şüpheleniliyor.
Eylül 2024’teki açıklamaya rağmen, 48.933’ü aşan önemli sayıda cihaz, istismara açık olmaya devam ediyor.
Akira ve Fog fidye yazılımı gruplarının kurbanı olan kuruluşların analizi, SonicWall NSA cihazlarının yaygınlığının diğer fidye yazılımı gruplarının kurbanlarına kıyasla önemli ölçüde daha yüksek olduğunu ortaya çıkardı.
Akira ve Fog tarafından ele geçirilen 218 kuruluştan 100’den fazlasının (yaklaşık %46) SonicWall ağ güvenlik cihazlarını kullandığı tespit edildi; bu, diğer fidye yazılımı gruplarının kurbanları arasında SonicWall NSA sahipliğinin yaklaşık %5 veya daha az olduğu tipik gözlemle keskin bir tezat oluşturuyor.
Bu tutarsızlığın varlığı, Akira ve Fog fidye yazılımının başarılı bir şekilde konuşlandırılması ile SonicWall NSA cihazlarındaki güvenlik açıklarından yararlanılması arasında bir bağlantı olasılığını artırıyor.
Eylül ve Aralık ayları arasında SonicWall NSA güvenlik açığı nedeniyle önemli sayıda kuruluşun güvenliği ihlal edildi ve bu oran potansiyel olarak %50’yi aştı.
Tutarlı %50 tespit oranına katkıda bulunan faktörler arasında şirketlerin SonicWall cihazlarına bağlanmasındaki zorluklar, saldırganların izinsiz giriş vektörlerini çeşitlendirmesi ve tehdit aktörleri arasındaki taktik farklılıkları yer alıyor.
SonicWall, güvenlik açıklarına ilişkin bir PoC veya ayrıntılı etki değerlendirmesi yayınlamamış olsa da, kimlik bilgilerinin sıfırlanması ve MFA’nın uygulanması yönündeki tavsiyeleri, kimlik bilgileri hırsızlığı potansiyeline güçlü bir şekilde işaret ediyor.
Kimlik bilgileri hırsızlığı vakalarında açık bir atıf bulunmaması, kesin kanıtları engellerken, SonicWall cihazlarının bu grupların hedef aldığı kuruluşlardaki yüksek yoğunluğu, SonicWall güvenlik açıklarından faydalanmalarını destekleyen ikinci dereceden kanıtlar sağlıyor.
Macnica’ya göre BlackBasta’nın tarafında da SonicWall cihazlarını hedef alan bir aktivite vardı, ancak bu aktivite son zamanlarda azalıyordu.
SonicWall NSA cihazı yama durumunu CVE-2024-40766’ya göre değerlendirmek için, cihazların HTML yapısını analiz eden ve yaklaşık 5.000 cihazdan alınan SNMP verilerine göre doğrulanan yeni bir yöntem geliştirildi.
24 Aralık 2024 itibarıyla, kamuya açık 48.933 SonicWall NSA cihazı savunmasız kalmaya devam ederken, ülkelere göre savunmasız sunucuların analizi, birçok Asya ülkesinde iyileştirmelerin yetersiz olduğunu ortaya koyuyor.
Yamanın benimsenmesi, yamanın yayınlanmasından yaklaşık bir ay sonra önemli ölçüde yavaşlamış olsa da, bu durum çoğu güvenlik açığında gözlemlenen ortak bir eğilimi yansıtıyor.
Kesin kanıt olmamasına rağmen güçlü kanıtlar, kritik SonicWall güvenlik açığının (CVE-2024-40766) Akira ve Fog tehdit aktörleri tarafından aktif olarak kullanıldığını gösteriyor.
Keşfedilmesinden üç ay sonra, SonicWall cihazları küresel ölçekte savunmasız kalmaya devam ediyor; genel sunucuların %13’ü yamasız durumda; bu da Akira ve Fog gibi saldırganların çok sayıda cihazı tehlikeye atmasına olanak tanıyor ve muhtemelen başarılarının artmasına katkıda bulunuyor.
Kurbanların sayısı arttıkça, SonicWall ürünlerini kullanan kuruluşlara yönelik tehdit ortamı kötüleşmeye devam ediyor ve acil yama ve gelişmiş güvenlik önlemlerine olan acil ihtiyaç vurgulanıyor.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free