Sonicwall, bilinen rootkit kötü amaçlı yazılımları algılamak ve kaldırmak için Güvenli Mobil Erişim (SMA) 100 Serisi aletleri için Acil Bir Bellenim Güncellemesi, sürüm 10.2.2-92SV sürüm yayınladı.
22 Eylül 2025’te yayınlanan Danışmanlık, SNWLID-2025-0015, SMA 210, 410 ve 500V cihazlarının tüm kullanıcılarının sürekli tehditlere karşı korunmak için güncellemeyi hemen uygulamalarını şiddetle tavsiye ediyor.
Bu sürüm, kötü amaçlı yazılımları tehlikeye atılmış sistemlerden temizlemek için tasarlanmış ek dosya kontrol özellikleri sunar.
Güncelleme, Google’ın Tehdit İstihbarat Grubu’ndan (GTIG) Temmuz 2025 raporunda vurgulanan tehditleri doğrudan ele alıyor. Araştırmacılar, bir tehdit oyuncusu tarafından UNC6148 olarak izlenen bir kampanyayı detaylandırdı ve Yaşam Sonu (EOL) Sonicwall SMA 100 cihazlarında aşırı adım kötü amaçlı yazılımları konuşlandırdı.
Aşınma, saldırganların gizli bileşenler aracılığıyla kalıcı erişimi sürdürmelerini, ters bir kabuk oluşturmasını ve hassas verileri söndürmesini sağlayan sofistike bir kullanıcı modu rootkittir.
Çalıntı dosyalar, ürün yazılımı güncellemelerinden sonra bile saldırganlara uzun vadeli kalıcılık sağlayarak kimlik bilgileri, bir kerelik şifre (OTP) tohumları ve sertifikaları içerebilir.
Aktif sömürü izleyen yama
Bu ürün yazılımının yayınlanması, vahşi doğada aktif sömürü ile mücadelede kritik bir adımdır. GTIG raporu, abartılı rootkit’in 1 Ekim 2025 tarihli destek sonu tarihine yaklaşan SMA cihazlarına konuşlandırıldığını belirtti.
Google’ın araştırmacıları ilk erişim vektörünü kesin olarak belirleyemese de, UNC6148’in faaliyetleri ve Abyss fidye yazılımlarını içeren olaylar arasında önemli çakışmalar gözlemlediler. Önceki saldırılarda, tehdit aktörleri sistem güncellemelerine rağmen dayanaklarını korumak için SMA cihazlarına web mermileri kurdu.
Sonicwall’un danışmanlığı, Google tarafından özetlenen riskleri kabul eder ve yöneticileri ilgili Temmuz Bilgi Baskı makalesinde detaylandırılan güvenlik önlemlerini uygulamaya çağırır.
Şirket, yıl boyunca SMA 100 aletinde bir dizi güvenlik açıkına aktif olarak ele alıyor. Mayıs 2025’te, uzaktan kod yürütülmesi için zincirlenebilen üç kusuru (CVE-2025-32819, CVE-2025-32820, CVE-2025-32821) yamaladı. Bir başka kritik kusur olan CVE-2025-40599, kimliği doğrulanmış keyfi dosya yüklemelerini önlemek için Temmuz ayında yamalandı.
Sonicwall, bu yeni ürün yazılımının 10.2.1.15-81SV ve daha önceki sürümleri çalıştıran etkilenen cihazlar için birincil iyileştirme olduğunu vurgular. Mevcut bir çözüm yok.
Danışma, güvenlik açığının, güvenlik duvarlarında çalışan Sonicwall SSL VPN SMA 1000 serisini veya SSL-VPN işlevselliğini etkilemediğini açıklar.
SMA 100 Serisi için aktif tehditler ve yaklaşan destek sonu tarihi göz önüne alındığında, kuruluşların uzlaşma ve veri ortaya çıkmasını önlemek için bu güncellemeye öncelik vermeleri tavsiye edilir.
Yükseltmeden önce, yöneticiler uzlaşma göstergeleri için cihaz günlüklerini gözden geçirmeli, tüm kimlik bilgilerini sıfırlamalı ve OTP bağlamalarını ihtiyati bir önlem olarak yeniden başlatmalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
