
Sonicwall, müşterilere, tehdit aktörlerinin güvenli mobil erişim (SMA) cihazlarında yüksek şiddetli bir komut enjeksiyon kırılganlığından aktif olarak yararlandıkları konusunda acil bir uyarı yayınladı.
CVE-2023-44221 olarak izlenen güvenlik açığı başlangıçta Aralık 2023’te açıklandı, ancak son zamanlarda gerçek dünya saldırılarında silahlandırıldığı doğrulandı.
CVSS skoru 7.2 taşıyan güvenlik kusuru, SMA100 SSL-VPN yönetim arayüzündeki yanlış nötralize edici özel unsurlardan kaynaklanmaktadır.
Başarılı bir şekilde sömürüldüğünde, rasgele komutları ‘kimse’ kullanıcısı olarak enjekte etmesine ve potansiyel olarak tam sistem uzlaşmasına yol açan uzaktan kimliksel saldırganların idari ayrıcalıklara sahip uzaktan itici saldırganlara izin verir.
Sonicwall OS komut enjeksiyonu
Sonicwall, 30 Nisan 2025’te yayınlanan güncellenmiş bir danışmada, “Daha ileri analiz sırasında Sonicwall ve Güvenilir Güvenlik Ortakları ‘CVE-2023-44221-CVE-2023-44221-Vahşi doğada, vahşi doğada kullanıldığını belirledi.
Güvenlik açığı, SMA 200, SMA 210, SMA 400, SMA 410 ve Firmware sürümlerini çalıştıran SMA 500V cihazları 10.2.1.9-57sv ve daha erken dahil olmak üzere birden fazla Sonicwall ürününü etkiler. Sonicwall tarafından salınan gerekli yamaları uygulamadılarsa, bu cihazları kullanan kuruluşlar önemli risk altındadır.
Siber güvenlik uzmanları, riski azaltmak için derhal eylem önermektedir. “CVE-2023-44221’in etkilenen cihazlarda işletim sistemi komut enjeksiyonuna izin verdiği göz önüne alındığında, kuruluşlar en son ürün yazılımına güncellemeye öncelik vermelidir” dedi.
Sonicwall, güvenlik açığını gidermek için yamalar yayınladı ve müşterilere ürün yazılımı sürüm 10.2.1.14-75sv veya daha sonraki sürümüne yükseltmelerini şiddetle tavsiye ediyor. Ayrıca şirket, müşterilerin “yetkisiz girişler sağlamak için SMA cihazlarını gözden geçirmelerini” önermektedir.
Potansiyel sömürüye karşı daha fazla koruma sağlamak için güvenlik uzmanları, tüm hesaplar, özellikle yerel hesaplar için çok faktörlü kimlik doğrulama uygulamasını, güçlü şifrelerle Sonicwall SMA güvenlik duvarlarındaki tüm yerel hesapların şifrelerinin sıfırlanmasını, VPN’nin yalnızca gerekli hesaplara erişimini sınırlandırmasını ve varsayılan yönetici hesapları da dahil olmak üzere gereksiz hesapları kaldırmayı veya devre dışı bırakmayı önerir.
Bu gelişme, Sonicwall’un bir başka yüksek şiddetli kırılganlığı (CVE-2021-20035) aktif olarak sömürüldüğünü ve VPN cihazlarının tehdit aktörleri tarafından sürekli hedeflenmesini vurgulayarak işaretlemesinden kısa bir süre sonra geliyor. Güvenlik açığı, DbappSecurity Co., Ltd.’nin Webin Laboratuarından Wenjie Zhong (H4LO) tarafından keşfedildi ve bildirildi.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.