Dalış Özeti:
- Araştırmacılara ve federal siber yetkililere göre saldırganlar, güvenlik sağlayıcısının güvenlik duvarlarını çalıştıran yazılım olan SonicWall SonicOS’taki kritik bir güvenlik açığını aktif olarak kullanıyor.
- Siber Güvenlik ve Altyapı Güvenlik Ajansı eklendi CVE-2024-40766 ona bilinen istismar edilen güvenlik açıkları kataloğu Pazartesi günü. Yazılım hatası SonicWall Gen 5 ve Gen 6 cihazlarını ve SonicOS sürüm 7.0.1-5035 veya daha eski sürümleri çalıştıran Gen 7 cihazlarını etkiliyor.
- Sonik Duvar uygunsuz erişim kontrol açığını ifşa etti ve düzeltti22 Ağustos’ta CVSS değeri 9.3 olan . Arktik Kurdu Ve Hızlı7 SonicWall cihazlarındaki güvenli soket katmanı VPN hesaplarını fidye yazılımı saldırılarında ilk erişim için tehlikeye atan fidye yazılımı grupları gözlemlendi.
Dalış İçgörüsü:
İşletme ağlarındaki bu istismarlar ve ortaya çıkan güvenlik açıkları, birden fazla tedarikçiye ait güvenlik donanımlarındaki güvenlik açıklarını hedef alan bir dizi saldırının daha habercisi.
SonicWall’un Cuma günkü en son güncellemelerinde, güvenlik açığının potansiyel olarak vahşi doğada istismar edildiği konusunda uyarıda bulunuldu ve müşteriler yamayı uygulamaya çağrıldı. Şirket, yorum talebine yanıt vermedi.
Cuma günü Arctic Wolf, yerel SonicWall güvenlik duvarlarında tehlikeye atılmış hesapları içeren Akira fidye yazılımı iştiraki aktivitesi gözlemlediğini söyledi. Siber güvenlik satıcısına göre, çok faktörlü kimlik doğrulama, tehlikeye atılmış tüm hesaplar için devre dışı bırakıldı.
“Geriye dönük analizde, Ağustos ayının ilk haftası gibi erken bir tarihte potansiyel bir sömürüye işaret eden dolaylı kanıtlar bulduk, ancak bu kesin değil.” Arctic Wolf’ta ürün ve hizmetlerden sorumlu baş yönetici Dan Schiappae-posta yoluyla söyledi.
Güvenlik duvarlarında ve VPN telemetrisinde görünürlüğün olmaması, araştırmacıların kötü amaçlı etkinliği istismar edilen güvenlik açıklarına bağlamasını zorlaştırıyor. Yine de Arctic Wolf, yerel kimlik doğrulaması kullanan SonicWall güvenlik duvarlarının SSL VPN özelliğine güvenen kuruluşlar için bir tehdit olduğunu gösterecek kadar veri gözlemledi, dedi Schiappa.
Rapid7 ayrıca, çeşitli saldırıların CVE-2024-40766 istismarlarıyla bağlantılı olduğuna dair kanıtların dolaylı olduğunu belirtti.
“Şu anda bu belirli CVE’ye herhangi bir olayı yüksek bir güvenle bağlayamıyoruz,” Rapid7’de güvenlik açığı istihbaratı direktörü Caitlin Condone-posta yoluyla söyledi.
“Şu anda SonicWall cihazlarının toplu olarak hedef alındığını da gözlemlemiyoruz.”
SonicWall, hükümet yetkilileri ve araştırmacılar, müşterilerini desteklenen en son SonicOS sürümlerine yükseltme yapmaya şiddetle teşvik ediyor.
Condon, “SonicWall güvenlik duvarları, diğer ağ kenarı cihazları gibi, hem finansal olarak motive olmuş hem de gelişmiş kalıcı tehdit saldırganları için yüksek değerli bir ilk erişim vektörüdür” dedi.
Finansal olarak motive olmuş ve ulus devlet bağlantılı saldırganlar, satılan ağ kenarı cihazlarındaki güvenlik açıklarını yaygın bir şekilde kullandı. Baraküda, Citrix, Fortinet, İvantaVe Palo Alto Ağları Son birkaç yıldır. Siber güvenlik sigorta şirketi At-Bay, uzaktan erişim araçlarının fidye yazılımı saldırıları için birincil saldırı noktasıMayıs ayında yayınlanan bir rapora göre, geçen yıl gerçekleşen saldırıların 5’te 3’ü bu şekilde gerçekleşmişti.
Condon, “CVE-2024-40766’nın istismar edilmesi, tehdit aktörlerine fidye yazılımı dağıtımı da dahil olmak üzere takip eden saldırıları gerçekleştirmeleri için iyi bir konuma getirecek dahili ağ erişimi sağlayabilir” dedi.
Saldırganlar, SonicWall SonicOS yönetim erişimindeki ve SSL VPN’deki güvenlik açığını kullanarak yetkisiz kaynak erişimi elde edebilir ve potansiyel olarak güvenlik duvarının çökmesine neden olabilir.