Mandiant’taki araştırmacılar, SonicWall SMA 100 Serisi cihazlarda inatla devam eden bir kampanya belirlediler.
Mandiant’taki araştırmacılar, Çin menşeli olduğu düşünülen SonicWall SMA 100 Serisi cihazları hedefleyen bir kötü amaçlı yazılım kampanyası belirlediler. Kötü amaçlı yazılım muhtemelen 2021’de konuşlandırıldı ve aygıt yazılımı yükseltmelerinden sağ çıksa bile cihazlarda inatla kalmayı başardı. Kötü amaçlı yazılım, kullanıcı kimlik bilgilerini çalabildi ve kabuk erişimi sağladı.
SMA 100 Serisi, uzaktaki kullanıcıların şirket kaynaklarında oturum açmasını sağlayan bir erişim kontrol sistemidir. Kullanıcıların kimliğini doğrulamak için birleşik bir tek oturum açma (SSO) web portalı sunar, bu nedenle kullanıcı kimlik bilgilerinin ele geçirilmesi, hassas bilgilerin peşinde olan bir saldırgana büyük bir avantaj sağlar.
Mandiant araştırmacılarının, virüslü bir cihazı incelemek için SonicWall Ürün Güvenliği ve Olay Müdahale Ekibi (PSIRT) ile birlikte çalıştıkları bildiriliyor.
Cihazda bulunan dosyaların analizi, giriş yapmış tüm kullanıcıların (karma) kullanıcı kimlik bilgilerinin toplanmasının kötü amaçlı yazılımın birincil amacı olduğunu gösterdi. Bir dizi komut dosyası ve bir TinyShell varyantı, saldırgana hazır, yüksek ayrıcalıklı erişim sağladı. Orijinal TinyShell, bir web kabuğuna HTTP istekleri aracılığıyla komutları kontrol etmek ve yürütmek için kullanılan bir python komut kabuğudur. Web kabuğu, güvenliği ihlal edilmiş bir web uygulamasında kalıcı erişimi artırmak ve sürdürmek amacıyla bir saldırgan tarafından kullanılan kötü amaçlı bir komut dosyasıdır. Başka bir deyişle, etkilenen sistemlerde arka kapı görevi görür.
Araştırmacılar, saldırganların araçlarının kararlılığı ve kalıcılığı için önemli çaba sarf ettiğini ve cihazı ayrıntılı olarak anladığını belirtti.
Kötü amaçlı yazılım, her on saniyede bir ürün yazılımı yükseltmesi olup olmadığını kontrol etti. Paketi açtığında, kötü amaçlı yazılımı yükseltmeye kopyaladı ve zip’i şimdi kötü amaçlı yazılım da dahil olmak üzere orijinal yerine geri koydu, böylece yükseltmeden sonra kimlik bilgilerini toplamaya devam edebilir.
Azaltma
SonicWall, SMA 100 müşterilerini güçlendirme geliştirmeleri içeren 10.2.1.7 veya daha yüksek bir sürüme yükseltmeye çağırıyor. 1 Mart 2023 tarihli bir blog gönderisinde SonicWall yamayı açıklıyor ve şunları belirtiyor:
SonicWall, işletim sistemi düzeyinde çeşitli kontroller gerçekleştirerek ve normal işletim sistemi durumunu temel alarak potansiyel olarak güvenliği ihlal edilmiş cihazları belirlemeye yardımcı olan SMA 100 serisi gibi ürünlerine güvenlik geliştirmelerini dahil etme yaklaşımını benimsemiştir. Ek olarak SonicWall, güvenlik olaylarını tespit edip onaylamak ve sorunu düzeltmek için yeni yazılım yayınlamak üzere cihaz sağlık verileri dahil olmak üzere arka uç sunuculara anonim şifreli veriler gönderir.
Bu yükseltmenin bir parçası olarak, 10.2.1.7 veya sonraki sürümleri kullanan SMA100 müşterileri, Yönetim Konsollarında bekleyen KRİTİK güvenlik güncellemeleri hakkında bildirimler alacaktır.
Yükseltmeler ve SMA 100 Serisinin çeşitli eski sürümlerinden 10.x bellenim sürümlerine nasıl yükseltileceğine ilişkin talimatlar, SonicWall bilgi bankası makalesinde SMA100 Serisi için Yükseltme Yolu bulunabilir.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.