Sonicwall, ‘abartılı’ olarak bilinen tehlikeli bir rootkit’i kaldırmak için güvenli mobil erişim (SMA) 100 serisi aletleri için acil bir yazılım güncellemesi yayınladı.
Bu arka kapı kötü amaçlı yazılım eski SMA ürün yazılımı sürümlerinde keşfedildi ve saldırganlara etkilenen cihazlara sürekli erişim sağlayabilir.
Yeni yapı, sürüm 10.2.2-92SV, bu gizli tehdidi algılamak ve ortadan kaldırmak için ek dosya kontrolü ekler.
Sonicwall ilk olarak 22 Eylül 2025’te Danışma Snwlid-2025-0015 yayınladı ve hemen SMA 210, SMA 410 ve SMA 500V modellerinin tüm kullanıcıları için kritik olarak işaretledi.
Aşınma rootkit, bir blog yazısında Google Tehdit İstihbarat Grubu (GTIG) tarafından detaylandırıldı ve eski SMA ürün yazılımının backdoors yüklemek ve hassas verileri çalmak için nasıl kullanılabileceğini vurguladı.
Sonicwall’un danışmanlığı bir CVE veya CVSS puanı atamasa da, satıcı rootkit’in normal tespit yöntemlerinden kaçınma yeteneği nedeniyle riskin önemli olduğunu vurgulamaktadır.
Sürüm 10.2.1.15-81SV veya daha önce sürümde SMA 100 Serisi cihazları çalıştıran kuruluşların olası uzlaşmayı önlemek için derhal harekete geçmeleri istenir.
Darbe
Aşırı step rootkit ile enfekte olan cihazlar, rutin yeniden başlatmalardan ve güvenlik taramalarından sonra bile yetkisiz erişimi koruyabilir.
Saldırganlar bu kalıcılığı kimlik bilgilerini çalmak, iç trafiği engellemek veya ek kötü amaçlı yazılımlar dağıtmak için kullanabilir.
Hiçbir kamu raporu yaygın sömürüyü doğrulamakla birlikte, gizli ve uzaktan kumanda yeteneklerinin birleşimi bu rootkit’i ciddi bir tehdit haline getirir.
Sonicwall’un yaması, cihazda devam eden aşırı aşamalı bileşenleri tanımlamak ve kaldırmak için gelişmiş dosya bütünlüğü kontrolleri sunar. Bu güncelleme aynı zamanda SMA sistemini gelecekte benzer çekirdek düzeyinde tehditlere karşı sertleştiriyor.
BT ekipleri, desteklenmeyen bir ürün yazılımı sürümünü çalıştıran herhangi bir cihazın zaten tehlikeye atılabileceğini varsaymalıdır.
Danışma, bu sorunun standart Sonicwall güvenlik duvarlarında eski SMA1000 serisini veya SSL-VPN hizmetini etkilemediğini belirtiyor.
Bununla birlikte, hem SMA100 hem de diğer Sonicwall ürünlerini içeren karışık ortamlar, ağ genelinde tam koruma sağlamak için koordineli güncellemeler ve doğrulama adımları gerektirebilir.
Sonicwall, SMA 100 Serisi cihazlarını kullanan tüm müşterilerin hemen 10.2.2-92SV sürümünü indirip yüklemesini önerir.
Yöneticiler SMA yönetim konsoluna giriş yapmalı ve standart ürün yazılımı yükseltme prosedürünü izlemelidir.
Güncelleme yaptıktan sonra, ekipler, aşırı aşınma rootkit izlerinin kaldırıldığını doğrulamak için cihazda tam bir dosya sistemi taraması yapmalıdır.
Yamayı uygulamaya ek olarak, kuruluşlar, özellikle eski ürün yazılımının kullanıldığı zaman dilimi boyunca, yetkisiz erişim belirtileri için ağ günlüklerini gözden geçirmelidir.
Ayrıca, SMA cihazı tarafından depolanan veya işlenen kimlik bilgilerini döndürmeniz ve yeniden eğitimden sonra olağandışı trafik modellerini izlemeniz önerilir.
Bu acil durum yamasını kurmak için hızlı bir şekilde hareket ederek, kuruluşlar uzaktan erişim altyapılarının aşırı aşınma rootkit tehdidine karşı güvende kalmasını ve dahili ağlarının bütünlüğünü korumasını sağlayabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.