Çarşamba günü CISA, federal ajansları Sonicwall Güvenli Mobil Erişim (SMA) 100 Serisi cihazlarını, yüksek şiddetli bir uzaktan kod yürütme kırılganlığından yararlanarak saldırılara karşı güvence altına almaları için uyardı.
CVE-2021-20035 olarak izlenen bu güvenlik kusuru, SMA 200, SMA 210, SMA 400, SMA 410 ve SMA 500V (ESX, KVM, AWS, Azure) cihazlarını etkiler. Başarılı sömürü, düşük karmaşıklık saldırılarında düşük ayrıcalıklara sahip uzaktan tehdit aktörlerinin keyfi kod yürütmesine izin verebilir.
Sonicwall, “SMA100 yönetim arayüzündeki özel unsurların uygunsuz nötrleştirilmesi, uzak kimlik doğrulamalı bir saldırganın, potansiyel olarak kod yürütmesine yol açabilecek bir ‘kimse’ kullanıcısı olarak keyfi komutları enjekte etmesini sağlar.”
Sonicwall, bu güvenlik açığını neredeyse dört yıl önce, Eylül 2021’de, şirketin sadece hizmet reddi (DOS) saldırılarında savunmasız cihazları devirmenin kullanılabileceğini söyledi.
Ancak, CVE-2021-20035 Güvenlik Danışmanlığını Pazartesi günü, saldırılarda kullanıldığı gibi işaretlemek ve kod yürütmeyi içerecek şekilde etkiyi genişletmek için güncelledi.
Sonicwall, “Bu kırılganlığın vahşi doğada aktif olarak kullanıldığına inanılıyor. İhtiyati bir önlem olarak, Sonicwall PSIRT özeti güncelledi ve CVSS skorunu 7.2’ye gözden geçirdi.” Dedi.
| Ürün | Platform | Etkilenen sürüm | Sabit versiyon |
| SMA 100 Serisi | • SMA 200 • SMA 210 • SMA 400 • SMA 410 • SMA 500V (ESX, KVM, AWS, Azure) | 10.2.1.0-17SV ve daha erken | 10.2.1.1-19SV ve daha yüksek |
| 10.2.0.7-34SV ve daha erken | 10.2.0.8-37SV ve daha yüksek | ||
| 9.0.0.10-28SV ve daha erken | 9.0.0.11-31SV ve daha yüksek |
Dün, Cisa, güvenlik açığının, siber güvenlik ajansı tarafından saldırılarda aktif olarak sömürülen güvenlik kusurlarını listeleyen bilinen sömürülen güvenlik açıkları kataloğuna ekleyerek vahşi doğada istismar edildiğini doğruladı.
Kasım 2021’de yayınlanan Bağlayıcı Operasyonel Direktif (BOD) 22-01 tarafından zorunlu kılınan Federal Sivil Yürütme Şubesi (FCEB) ajansları, ağlarını devam eden saldırılara karşı güvence altına almak için 7 Mayıs’a kadar üç haftaya sahiptir.
BOD 22-01 yalnızca ABD federal ajansları için geçerli olsa da, tüm ağ savunucuları potansiyel ihlal girişimlerini engellemek için bu güvenlik açığı yamaya öncelik vermelidir.
Cisa, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır.”
Şubat ayında Sonicwall ayrıca, bilgisayar korsanlarının VPN oturumlarını kaçırmasına izin verebilecek Gen 6 ve Gen 7 güvenlik duvarlarında aktif olarak sömürülen bir kimlik doğrulama baypas kusuru konusunda uyardı.
Bir ay önce şirket, müşterileri sıfır gün saldırılarında zaten sömürüldüğünü bildiren SMA1000 güvenli erişim ağ geçitlerini etkileyen kritik bir güvenlik açığını yamaya çağırdı.