Yaklaşık 3.700 Sonicwall SMA 1000 Serisi VPN’ler, yakın zamanda keşfedilen bir kritik güvenlik açığının açıklanmasından sonra İnternet’e maruz kalıyor, Censys’teki araştırmacılar Pazartesi günü bir blog gönderisinde dedi.
Cuma günü Sonicwall uzaktan kod yürütme güvenlik açığının saldırganlar tarafından aktif sömürü altındaydı. Güvenlik açığı, CVE-2025-23006cihazın dahili arayüzüne erişimi olan bir saldırganın cihazı devralmasına izin verir, X’teki bir gönderiye göre Başlangıçta kusuru keşfeden ve bildiren Microsoft Tehdit İstihbaratı’ndan.
Fakat, Shadowserver’dan araştırmacılar Siber güvenlik dalışına Pazartesi günü sadece 180 açık ve potansiyel olarak savunmasız Sonicwall SMA 1000 serisi VPN’leri gördüklerini söyledi.
Sonicwall, daha önce Web tabanlı cihaz yönetimine ve merkezi yönetim konsollarına idari erişimle savunmasız ürün yazılımı sürümlerini çalıştıran cihazların özellikle kamuya açık internete maruz kalmaları durumunda risk altında olduğu konusunda uyardı.
Microsoft Tehdit İstihbaratı geçen hafta kırılganlığı hedefleyen tehdit faaliyetine dair kanıtlar yayınladı ve Cuma günü Sonicwall, saldırganların bundan yararlandığını doğruladı. Ne tür bir sömürme sonrası faaliyetin gerçekleştiği veya mağdurlar hakkında herhangi bir bilgi açıklandığı hemen bilinmemektedir.
Mevcut siber saldırı kampanyası, yıllar boyunca finansal olarak motive edilen bir dizi tehdit grubu tarafından hedeflenen Sonicwall cihazlarıyla ilgili bir dizi güvenlik sorununun en sonuncusunu işaret ediyor.
Dahil olmak üzere önceki güvenlik açıkları CVE-2021-20016 Ve CVE-2021-20028 Censys’e göre, UNC2447, Hellokitty ve Five Hand fidye yazılım grubu dahil olmak üzere çeşitli saldırganlar tarafından silahlandırıldı.
Sonicwall sözcüsü hemen yorum yapmak için mevcut değildi.