Siber güvenlik firmaları, CVE-2024-53704 olarak izlenen Sonicwall güvenlik duvarlarında kritik bir kimlik doğrulama bypass güvenlik açığı, CVE-2024-53704 olarak izleniyor.
Saldırılardaki artış, 10 Şubat 2025 tarihinde Bishop Fox’taki araştırmacılar tarafından Konsept Kanıtı (POC) istismar kodunun halka açıklanmasını takip ediyor ve eşleştirilmemiş cihazlara sahip kuruluşlar için riskleri artırıyor.
CVSS ölçeğinde 9.3 olarak derecelendirilen CVE-2024-53704, Sonicwall’un Gen 6, Gen 7 ve TZ80 güvenlik duvarlarını güçlendiren işletim sistemi olan Sonicos’un SSL VPN kimlik doğrulama mekanizmasında bulunur.
Saldırganlar, Base64 kodlu bir null bayt dizesi içeren hazırlanmış bir oturum çerezi göndererek aktif VPN oturumlarını uzaktan ele geçirebilir. /cgi-bin/sslvpnclient uç nokta.
Başarılı sömürü, çok faktörlü kimlik doğrulamayı (MFA) atlar, özel ağ yollarını ortaya çıkarır ve dahili kaynaklara yetkisiz erişime izin verir. Meyveden çıkarılan oturumlar, tehdit aktörlerinin meşru kullanıcı bağlantılarını sonlandırmasını da sağlar.
Sonicwall başlangıçta 7 Ocak 2025’te kusuru derhal yamaya çağırarak açıkladı. O zaman, satıcı vahşi sömürü olduğuna dair hiçbir kanıt bildirmedi.
CVE-2024-53704 Wild’da sömürüldü
Ancak, Bishop Fox’un 10 Şubat’ta POC yayını saldırganların girişini düşürdü. 12 Şubat’a kadar Arktik Wolf, öncelikle Sanal Özel Sunucularda (VPS) barındırılan ondan az farklı IP adresinden kaynaklanan sömürü girişimleri gözlemledi.
Güvenlik analistleri, hızlı silahlandırmayı kırılganlığın kritik etkisine ve Sonicwall cihazlarının Akira ve Sis gibi fidye yazılım gruplarının tarihsel hedeflemesine bağlar.
Bishop Fox’a göre, 7 Şubat itibariyle 4.500’den fazla internete maruz kalan Sonicwall SSL VPN sunucuları açılmamış kaldı. Etkilenen ürün yazılımı sürümleri şunları içerir:
- Sonicos 7.1.x (7.1.1-7058’e kadar)
- Sonicos 7.1.2-7019
- Sonicos 8.0.0-8035
Sonicos 8.0.0-8037 ve 7.1.3-7015 gibi yamalı versiyonlar Ocak 2025’te yayınlandı.
Sömürü deseni önceki kampanyaları yansıtır. 2024’ün sonlarında, Akira fidye yazılımı iştirakleri, ağlara sızmak için uzlaşmış Sonicwall VPN hesaplarından yararlanarak genellikle ilk erişimden sonraki saatler içinde verileri şifreledi.
Arctic Wolf, CVE-2024-53704’ün benzer şekilde fidye yazılımı dağıtım, kimlik bilgisi hırsızlığı veya casusluk için bir geçit görevi görebileceği konusunda uyarıyor.
Sonicwall ve siber güvenlik ajansları acil eylemi vurgular:
- Ürün yazılımını yükseltin Sabit sürümlere (örn. 8.0.0-8037 veya 7.1.3-7015).
- SSL VPN’yi devre dışı bırakın Hemen yama işlemi mümkün değilse genel arayüzlerde.
- VPN erişimini kısıtlayın Güvenilir IP aralıklarına ve kalan kullanıcılar için MFA’yı uygulamak.
Aktif sömürü devam ederken, kuruluşlar riskleri azaltmak için yamaya öncelik vermelidir. Kamu POC kodunun yakınsaması, yüksek saldırı fizibilitesi ve Sonicwall’un kurumsal ağlardaki önemi aciliyetin altını çiziyor.
Arctic Wolf’un uyarıldığı gibi, fidye yazılımı aktörlerinin kırılganlığının ve çevikliğinin şiddeti göz önüne alındığında, “felaket ağ uzlaşması” riski gecikiyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free