Siber güvenlik şirketi Sonicwall, müşterilere güvenli mobil erişim (SMA) cihazlarını etkileyen çeşitli güvenlik açıklarının şu anda saldırılarda aktif olarak sömürüldüğü konusunda uyardı.
Salı günü Sonicwall, CVE-2023-44221 ve CVE-2024-38475 Güvenlik Kusurları için güvenlik danışmanlarını iki güvenlik açıkını “vahşi doğada sömürülüyor” olarak etiketlemek için güncelledi.
CVE-2023-44221, SMA100 SSL-VPN yönetim arayüzündeki özel elemanların uygunsuz nötrleştirilmesinden kaynaklanan yüksek şiddetli bir komut enjeksiyon güvenlik açığı olarak tanımlanır, bu da yönetici ayrıcalığı olan saldırganların keyfi komutları ‘kimse’ kullanıcısı olarak enjekte etmesini sağlar.
İkinci güvenlik hatası, CVE-2024-38475, Apache HTTP Sunucusu 2.4.59 ve daha önceki MOD_REWRITE’deki Çıktının yanlış kaçışından kaynaklanan kritik bir şiddet kusuru olarak derecelendirilir. Başarılı sömürü, kimlik doğrulanmamış uzak saldırganların, sunucu tarafından sunulmasına izin verilen sistem konumlarını dosya ile eşleştirerek kod yürütme kazanmalarına izin verebilir.
İki güvenlik açığı SMA 200, SMA 210, SMA 400, SMA 410 ve SMA 500V cihazlarını etkiler ve ürün yazılımı sürüm 10.2.1.14-75sv ve daha sonra yamalanır.
Sonicwall güncellenmiş bir danışmanda “” Daha ileri analiz sırasında, Sonicwall ve Trusted Güvenlik ortakları CVE-2024-38475 kullanılarak belirli dosyalara yetkisiz erişimin oturum kaçırmasını sağlayabileceği ek bir sömürü tekniği belirlediler. “
“Daha ileri analiz sırasında Sonicwall ve Güvenilir Güvenlik Ortakları, ‘CVE-2023-44221-Kimlik Doğrulama OS komutu enjeksiyonu’ güvenlik açığının vahşi doğada kullanıldığını tespit etti.” “Sonicwall PSIRT, müşterilerin yetkisiz girişler sağlamak için SMA cihazlarını incelemelerini önerir.”
Bu ayın başlarında, şirket neredeyse dört yıl önce yamalı bir başka yüksek şiddetli kusurla işaretledi ve SMA100 VPN cihazlarını hedefleyen uzaktan kod yürütme saldırılarında aktif olarak sömürülen CVE-2021-20035 olarak izlendi. Bir gün sonra, siber güvenlik şirketi Arctic Wolf, CVE-2021-20035’in en az Ocak 2025’ten beri aktif sömürü altında olduğunu söyledi.
CISA ayrıca, ABD federal ajanslarına, devam eden saldırılara karşı ağlarını güvence altına almalarını emrederek bilinen sömürülen güvenlik açıkları kataloğuna güvenlik hatasını da ekledi.
Ocak ayında Sonicwall, yöneticileri sıfır gün saldırılarında sömürülen SMA1000 güvenli erişim ağ geçitlerinde kritik bir kusura atmaya çağırdı ve bir ay sonra, Hacker’ların VPN oturumlarını ele geçirmesine izin veren Gen 6 ve Gen 7 güvenlik duvarlarında aktif olarak sömürülen bir kimlik doğrulama baypas kusuru konusunda uyardı.