Saldırganlar artık Konsept Kanıtı (POC) istismar kodunun yayınlanmasından kısa bir süre sonra Sonicwall güvenlik duvarlarını etkileyen bir kimlik doğrulama bypass güvenlik açığını hedefliyor.
Bu güvenlik kusuru (CVE-2024-53704), CISA tarafından kritik bir şiddet olarak etiketlendi ve SSLVPN kimlik doğrulama mekanizmasında bulunan, Sonicos sürümleri 7.1.x (7.1.1-7058’e kadar), 7.1.2-7019 ve 8.0’ı etkiler. 0-8035, Gen 6 ve Gen 7 güvenlik duvarları ve Soho Serisi cihazlarının birden fazla modeli tarafından kullanılır.
Başarılı sömürü, uzak saldırganların aktif SSL VPN oturumlarını kimlik doğrulaması yapmadan ele geçirmelerini sağlar ve bu da hedeflerin ağlarına yetkisiz erişim sağlar.
Sonicwall, müşterileri güvenlik açığını kamuya açıklamadan ve 7 Ocak’ta güvenlik güncellemelerini yayınlamadan önce gönderilen bir e -postada kullanımı önlemek için güvenlik duvarlarını Sonicos ürün yazılımını derhal yükseltmeye çağırdı.
Şirket ayrıca, güvenilir kaynaklara erişimi sınırlamak ve internetten erişimi tamamen gerekmiyorsa sınırlamak da dahil olmak üzere cihazlarını hemen güvence altına alamayan yöneticiler için azaltma önlemlerini paylaştı.
Perşembe günü, siber güvenlik şirketi Arctic Wolf, Sonicwall’un kırılganlığın artan sömürü potansiyeline ilişkin korkularını doğrulayan “POC’nin kamuoyuna getirildikten kısa bir süre sonra” saldırılardaki bu kırılganlığı hedefleyen sömürü girişimlerini tespit etmeye başladıklarını söyledi.
Arctic Wolf, “Serbest bırakılan POC istismarı, kimlik doğrulanmamış bir tehdit aktörünün MFA’yı atlamasına, özel bilgileri açıklamasına ve çalışan VPN oturumlarını kesintiye uğratmasına izin veriyor.”
“Sömürme kolaylığı ve mevcut tehdit istihbaratı göz önüne alındığında, Arctic Wolf bu güvenlik açığını ele almak için sabit bir ürün yazılımına yükseltilmeyi şiddetle tavsiye ediyor.”
POC istismarından bir ay sonra piyasaya sürüldü
Bishop Fox’taki güvenlik araştırmacıları, 10 Şubat’ta yamaların serbest bırakılmasından bir ay sonra bir POC istismarı yayınladı.
Piskopos Fox, 7 Şubat’ta İnternet taramalarına göre yaklaşık 4.500 açılmamış Sonicwall SSL VPN sunucularının çevrimiçi olarak maruz kaldığını da sözlerine ekledi.
Sonicwall, “Sonicos SSLVPN Kimlik Doğrulama Bypass güvenlik açığı (CVE-2024-53704) için konseptlerin (POCS) artık kamuya açık olduğunu.”
“Bu, sömürü riskini önemli ölçüde arttırır. Müşteriler hemen tamamlanmamış tüm güvenlik duvarlarını (7.1.x ve 8.0.0) güncellemelidir. Ürün yazılımı güncellemesini uygulamak mümkün değilse, SSLVPN’yi devre dışı bırakın.”
Geçmişte, Akira ve Fog fidye yazılım iştirakleri de Sonicwall güvenlik duvarlarını hedef aldı. Arctic Wolf, Ekim ayında Sonicwall VPN hesapları aracılığıyla uzaktan ağ erişimi ile en az 30 müdahalenin başladığı konusunda uyardı.