Siber güvenlik şirketi Arctic Wolf’a göre, Sonicwall Güvenli Mobil Erişim (SMA) cihazlarını etkileyen bir uzaktan kod yürütme güvenlik açığı en az Ocak 2025’ten beri aktif sömürü altında.
Bu güvenlik kusuru (CVE-2021-20035), SMA 200, SMA 210, SMA 400, SMA 410 ve SMA 500V cihazlarını etkiler ve Sonicwall’un sadece dört yıl önce, Eylül 2021’de, sadece hizmet (DOS) saldırısında savunmasız aletleri devirmenin kullanılabileceğini söylediğinde yamalandı.
Bununla birlikte, şirket, güvenlik hatasını saldırılarda kullanıldığı gibi işaretlemek, uzaktan kod yürütmeyi içerecek şekilde etkiyi genişletmek ve CVSS şiddet puanını orta ila yüksek şiddete yükseltmek için Pazartesi günü dört yaşındaki güvenlik danışmanlığını güncelledi.
Sonicwall, “Bu kırılganlığın vahşi doğada aktif olarak kullanıldığına inanılıyor. İhtiyati bir önlem olarak, Sonicwall PSIRT özeti güncelledi ve CVSS skorunu 7.2’ye gözden geçirdi.” Dedi.
Başarılı sömürü, düşük ayrıcalıklara sahip uzaktan tehdit aktörlerinin, “SMA100 yönetim arayüzündeki özel unsurların uygunsuz nötralizasyonunu” kullanmalarına izin verebilir.
CISA ayrıca, bilinen sömürülen güvenlik açıkları kataloğuna kırılganlığı da ekledi, şimdi vahşi doğada istismar edildiğini ve Federal Sivil Yürütme Şubesi (FCEB) ajanslarını 7 Mayıs’a kadar devam eden saldırılara karşı güvence altına almaları için sipariş etti.
| Ürün | Platform | Etkilenen sürüm | Sabit versiyon |
| SMA 100 Serisi | • SMA 200 • SMA 210 • SMA 400 • SMA 410 • SMA 500V (ESX, KVM, AWS, Azure) | 10.2.1.0-17SV ve daha erken | 10.2.1.1-19SV ve daha yüksek |
| 10.2.0.7-34SV ve daha erken | 10.2.0.8-37SV ve daha yüksek | ||
| 9.0.0.10-28SV ve daha erken | 9.0.0.11-31SV ve daha yüksek |
Ocak ayından beri aktif olarak sömürüldü
Sonicwall, güvenlik hatasını, saldırılar başladığında paylaşmadan vahşi doğada sömürülen şekilde etiketlemesinden günler sonra, siber güvenlik şirketi Arctic Wolf, tehdit aktörlerinin CVE-2021-20035’in Ocak 2025’in başlarında saldırılarda istismarlarını kullandığını bildirdi.
Bu kampanyada, saldırganlar, çevrimiçi olarak maruz kalan yönetim arayüzü ile SMA 100 cihazlarını hedeflemek için “şifre” varsayılan şifreli yerel bir süper yönetici hesabı kullandılar.
Siber güvenlik firması, “Arctic Wolf, SMA 100 Serisi aletlerini hedefleyen ve Ocak 2025’e kadar bir başlangıç zaman aralığı ile Nisan 2025’e kadar uzanan devam eden bir VPN kimlik bilgisi erişim kampanyası belirledi.” Dedi.
“Kampanyanın dikkate değer bir yönü, güvensiz varsayılan şifre şifresine sahip olan bu cihazlarda yerel bir süper yönetici hesabının (admin@localomain) kullanılmasıydı.”
Sonicwall cihazlarını hedefleyen CVE-2021-20035 saldırılarını engellemek için, Arctic Wolf, ağ savunucularına VPN’yi gerekli hesaplara sınırlamalarını, gereksiz hesapları devre dışı bırakmasını, tüm hesaplar için çok faktörlü kimlik doğrulamasını etkinleştirmelerini ve Sonicwall Sma Firning’deki tüm yerel hesaplar için şifreleri sıfırlamasını tavsiye etti.
Şubat ayında Sonicwall, Ocak ayında müşterileri, sıfır gün saldırılarında zaten sömürüldüğünü ve bir ay sonra, Hacker’ların VPN seanslarını koruyabilmesine izin verebilecek şekilde aktif olarak sömürülen kimlik doğrulama bypass kusurları ile uyardığını bildirerek SMA1000 güvenli erişim ağ geçitlerini etkileyen kritik bir güvenlik açığını yamaya çağırdı.