Sonicwall, kullanıcıların bilinen rootkit kötü amaçlı yazılımlarını kaldırmasına yardımcı olan dosya kontrol özellikleri ekleyerek Güvenli Mobil Access (SMA) 100 Serisi cihazları için yeni ürün yazılımı yayınladı.
Söz konusu kötü amaçlı yazılım, Tehdit Grubu UNC6148 tarafından konuşlandırılan aşırı aşınma kullanıcı modu rootkit’dir.
Kampanya
Temmuz 2025’te Mantiant Olay Mevcut ve Google Tehdit İstihbarat Grubu (GTIG) Tehdit Analistleri, UNC6148 tarafından yürütülen bir Sonicwall SMA sömürü kampanyası hakkında uyardı.
Saldırganlar, cihazlarda bir SSL VPN oturumu oluşturmak için daha önce çalınan yerel yönetici kimlik bilgilerini kullandı. Oradan, keşif yapmalarını, cihaz ayarlarını değiştirmelerini, sırları çalma aşırı arka kapı/rootkit’i dağıtmalarını ve sistemdeki dosyaları manipüle etmelerine/gizlemelerini sağlayan bir ters kabuk oluşturdular.
“Aşırı adım atılması tamamlandıktan sonra, tehdit oyuncusu sistem günlüklerini temizledi ve tetiklemek için güvenlik duvarını yeniden başlattı [its execution]. Değişiklikler [made] Cihaz ne zaman yeniden başlatıldığında, abartılı ikili olarak cihazdaki çalışan dosya sistemine yükleneceği anlamına geliyordu ”dedi.
Ayrıca UNC6148 etkinliğinin, 2023’ün sonlarında ve 2024 başlarında bildirilen Sonicwall sömürüsü ile örtüştüğünü, Abyss markalı fidye yazılımlarının konuşlandırılmasıyla bağlantılı olayların örtüştüğünü kaydetti.
Daha yeni cihazlara güncelleme veya yükseltme
Kampanyanın en ilgili yönlerinden biri, saldırganların hedeflenen cihazlarda ters bir kabuk oluşturabilmeleridir – mümkün olmaması gereken bir şey.
Ne Mantiant ne de Sonicwall’un PSIRT bunun tam olarak nasıl elde edildiğini belirleyemese de, bunun bilinmeyen bir güvenlik açığı içerdiğini tahmin ettiler.
Ters kabuğu yumurtlamak için kullanılan yöntem bir gizem olarak kalır, ancak daha sonraki bir danışmanlıkta Sonicwall, saldırganların mevcut bir yerel yönetici SSL VPN oturumunu ele geçirmek için CVE-2024-38475’ten yararlandığını doğruladı.
Sonicwall, hedeflenen kuruluşlara şunları tavsiye etti:
- Rootkit’in kaldırıldığından emin olmak için etkilenen cihazları yükseltin veya değiştirin/yeniden oluşturun
- Tüm hesap kimlik bilgilerini (yönetici, yerel, dizin kullanıcıları) döndürün, sertifikaları cihazda depolanan özel anahtarlarla değiştirin ve kullanıcıların bir sonraki girişte mobil kimlik doğrulayıcı uygulamalarını yeniden bağlamasını sağlayın
- Bir dizi sertleştirme önlemi uygulayın
Yeni ürün yazılımı ile kuruluşlar artık rootkit’i doğrudan kaldırabilir. (Google kötü amaçlı dosyaları listeledi.)
Şirket, “Sonicwall, SMA 100 Serisi ürünlerinin (SMA 210, 410 ve 500V) kullanıcılarının 10.2.2-92SV sürümüne yükseltilmesini şiddetle tavsiye ederken,” dedi.
En son ürün yazılımı ayrıca, keşfedilen ancak bunlar veya diğer saldırganlar tarafından aktif olarak kullanılmayan kimliği doğrulanmış bir dosya yükleme güvenlik açığı olan CVE-2024-38475 ve CVE-2025-40599’u ele almaktadır.
Sonicwall SMA 100 Serisi cihazlar satış sonu statüsüne ulaştı ve şirket 1 Ekim 2027’den 31 Aralık 2025’e kadar destek sonu tarihini hızlandırmaya karar verdi. Bunları kullanan kuruluşların SMA 1000 Serisi cihazları kullanmaya geçmeleri tavsiye edildi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!