Fidye yazılımı iştirakçileri, kurbanların ağlarına sızmak için SonicWall SonicOS güvenlik duvarı cihazlarındaki kritik bir güvenlik açığından yararlanıyor.
CVE-2024-40766 olarak izlenen bu uygunsuz erişim kontrol açığı, Gen 5, Gen 6 ve Gen 7 güvenlik duvarlarını etkiliyor. SonicWall, 22 Ağustos’ta bu açığı düzeltti ve yalnızca güvenlik duvarlarının yönetim erişim arayüzünü etkilediği konusunda uyardı.
Ancak Cuma günü SonicWall, güvenlik açığının güvenlik duvarının SSLVPN özelliğini de etkilediğini ve artık saldırılarda istismar edildiğini açıkladı. Şirket, vahşi istismara ilişkin ayrıntıları paylaşmadan müşterileri “etkilenen ürünler için yamayı mümkün olan en kısa sürede uygulamaları” konusunda uyardı.
Aynı gün, Arctic Wolf güvenlik araştırmacıları saldırıları, hedeflerinin ağlarına ilk erişimi elde etmek için SonicWall cihazlarını hedef alan Akira fidye yazılımı iştirakleriyle ilişkilendirdi.
Arctic Wolf’ta Kıdemli Tehdit İstihbarat Araştırmacısı Stefan Hostetler, “Her durumda, ele geçirilen hesaplar Microsoft Active Directory gibi merkezi bir kimlik doğrulama çözümüyle entegre edilmek yerine cihazların kendisinde yerel olarak bulunuyordu” dedi.
“Ek olarak, MFA tüm tehlikeye atılan hesaplar için devre dışı bırakıldı ve etkilenen cihazlardaki SonicOS aygıt yazılımı, CVE-2024-40766’ya karşı savunmasız olduğu bilinen sürümler arasındaydı.”
Siber güvenlik şirketi Rapid7 de son olaylarda SonicWall SSLVPN hesaplarını hedef alan fidye yazılımı gruplarını tespit etti ancak “CVE-2024-40766’yı bu olaylara bağlayan kanıtların hala dolaylı olduğunu” söyledi.
Arctic Wolf ve Rapid7 de SonicWall’un uyarısını taklit ederek, yöneticilere mümkün olan en kısa sürede en son SonicOS yazılım sürümüne yükseltme yapmaları çağrısında bulundu.
Federal kurumlara 30 Eylül’e kadar yama yapmaları emredildi
CISA da pazartesi günü bu adımı izleyerek kritik erişim kontrolü açığını Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi ve federal kurumlara, Bağlayıcı Operasyonel Direktif (BOD) 22-01’de zorunlu kılındığı üzere, 30 Eylül’e kadar üç hafta içinde ağlarındaki savunmasız SonicWall güvenlik duvarlarını güvence altına almalarını emretti.
SonicWall azaltma önerileri arasında güvenlik duvarı yönetimini ve SSLVPN erişimini güvenilir kaynaklara kısıtlamak ve mümkün olduğunda internet erişimini devre dışı bırakmak yer alır. Yöneticiler ayrıca TOTP veya e-posta tabanlı tek seferlik parolalar (OTP’ler) kullanan tüm SSLVPN kullanıcıları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmelidir.
Saldırganlar genellikle siber casusluk ve fidye yazılımı saldırılarında SonicWall cihazlarını ve aygıtlarını hedef alır. Örneğin, SonicWall PSIRT ve Mandiant geçen yıl şüpheli Çinli hackerların (UNC4540) yama uygulanmamış SonicWall Secure Mobile Access (SMA) aygıtlarına aygıt yazılımı yükseltmelerinden sağ çıkan kötü amaçlı yazılım yüklediğini açıkladı.
HelloKitty ve FiveHands’in de aralarında bulunduğu ve şimdi Akira’nın da katıldığı çok sayıda fidye yazılımı çetesi, kurbanlarının kurumsal ağlarına ilk erişimi elde etmek için SonicWall güvenlik açıklarından da yararlandı.
SonicWall, aralarında devlet kurumlarının ve dünyanın en büyük şirketlerinin de bulunduğu 215 ülke ve bölgede 500.000’den fazla işletme müşterisine hizmet veriyor.