Sonicwall, müşterilerin SMA 100 Serisi cihazlarını hedefleyen saldırılarda dağıtılan rootkit kötü amaçlı yazılımları kaldırmasına yardımcı olabilecek bir ürün yazılımı güncellemesi yayınladı.
Şirket Pazartesi günü danışmanlıkta, “Sonicwall SMA 100 10.2.2.2-92SV Build, SMA cihazlarında mevcut bilinen Rootkit kötü amaçlı yazılımlarını kaldırma yeteneği sağlayarak ek dosya kontrolü ile piyasaya sürüldü.” Dedi.
“Sonicwall, SMA 100 Serisi ürünlerinin (SMA 210, 410 ve 500V) kullanıcılarının 10.2.2-92SV sürümüne yükseltilmesini şiddetle tavsiye ediyor.”
Güncelleme, Google Tehdit İstihbarat Grubu’ndaki (GTIG) araştırmacılardan bir Temmuz raporunu izliyor ve UNC6148 olarak izlenen bir tehdit aktörünün, 1 Ekim 2025’te önümüzdeki hafta sonucun sonu 100 cihazına ulaşacak olan yaşam sonu (EOL) Sonicwall SMA 100 cihazlarında aşırı aşamalı yazılımlar olarak konuşlandırıldığını gözlemledi.
Aşınma, saldırganların gizli kötü amaçlı bileşenler kullanarak ve tehlikeye atılan cihazlarda ters kabuk oluşturarak kalıcı erişimi sürdürmesini sağlayan bir kullanıcı modu rootkittir. Kötü amaçlı yazılım, kalıcılık da dahil olmak üzere hassas dosyaları çalar.Veritabanı ve sertifika dosyaları, bilgisayar korsanlarına kimlik bilgilerine, OTP tohumlarına ve daha da devam eden sertifikalara erişim sağlıyor.
Araştırmacılar UNC6148’in saldırılarının arkasındaki hedefi belirlememiş olsa da, uçurumla ilgili fidye yazılımı olaylarıyla “kayda değer çakışmalar” buldular.
Örneğin, 2023’ün sonlarında Truesec, bilgisayar korsanlarının bir SMA cihazına bir web kabuğu kurduğu ve ürün yazılımı güncellemelerine rağmen kalıcılığı korumalarını sağlayan bir Abyss fidye yazılımı olayını araştırdı. Mart 2024’te, Infoguard AG olayı yanıtlayıcısı Stephan Berger, Abyss kötü amaçlı yazılımların konuşlandırılmasına neden olan benzer bir SMA cihaz uzlaşması bildirdi.
Sonicwall Pazartesi günü yaptığı açıklamada, “Google Tehdit İstihbarat Grubu’ndan (GTIG) tehdit istihbarat raporu, SMA100 ürün yazılımının eski sürümlerini kullanma potansiyel riskini vurgulamaktadır.”
Geçen hafta Sonicwall, güvenlik duvarı yapılandırma yedekleme dosyalarının bulut yedeklemesi için API hizmetini hedefleyen kaba kuvvet saldırılarına maruz kaldıktan sonra müşterileri kimlik bilgilerini sıfırlama konusunda uyardı.
Ağustos ayında şirket ayrıca, Akira Fidye yazılımı çetesinin Gen 7 güvenlik duvarlarını potansiyel bir sıfır gün istismarını kullanarak hacklediğini ve sorunun Kasım 2024’te yamalanan kritik bir kırılganlığa (CVE-2024-40766) bağlı olduğunu açıkladı.
Avustralya Siber Güvenlik Merkezi (ACSC) ve siber güvenlik firması RAPID7 daha sonra Akira çetesinin eşleştirilmemiş Sonicwall cihazlarını hedeflemek için bu kırılganlığı kullandığını doğruladı.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.