Avustralya Sinyalleri Müdürlüğünün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC), CVE-2024-40766 olarak tanımlanan kritik bir güvenlik kusurunun aktif olarak kullanılması konusunda acil bir uyarı yayınladı ve birden fazla kuşak Sonicwall SSL VPN cihazlarını etkiledi. Danışmanlığa göre, Akira fidye yazılımlarını dağıtanlar da dahil olmak üzere tehdit aktörleri, yetkisiz ağ erişimi ve bazı durumlarda çarpışma güvenlik duvarları elde etmek için bu güvenlik açığını aktif olarak kullanıyorlar.
Resmi olarak CVE-2024-40766 olarak izlenen güvenlik açığı, Ağustos 2024’te danışma kimliği SNWLID-2024-0015 aracılığıyla herkese açık olarak açıklandı. Sonicos 7.0.1-5035 ve önceki sürümleri çalıştıran Gen 5, Gen 6 ve Gen 7 Sonicwall cihazlarını etkiler. CWE-284 uygunsuz erişim kontrol sorunu olarak sınıflandırılan güvenlik açığı, 9.3’lük bir CVSS V3 skoru atandı ve yüksek şiddetli bir riske işaret etti.
“Bu güvenlik açığı potansiyel olarak vahşi doğada yararlanılıyor,” diye uyarıyor resmi Sonicwall Danışmanlığı, kullanıcıları gecikmeden güvenlik yamaları uygulamaya çağırıyor.
CVE-2024-40766’nın teknik detayları
Sonicwall SSL güvenlik açığı, saldırganların erişim kontrollerini atlamasına izin vererek korunan kaynaklara yetkisiz erişim sağlıyor. Belirli koşullar altında, sömürü güvenlik duvarı kazalarını tetikleyerek ağ kesintilerine neden olabilir.
Sorun eski ürün yazılımında daha yaygın olsa da, son kullanma durumları, özellikle önceki nesillerden yapılandırmalar kullanıcı kimlik bilgileri güncellenmeden taşındığında, Gen 7 cihazlarını içermiştir.
Sonicwall, birçoğu yerel kullanıcı şifrelerini sıfırlamadan Gen 6’dan Gen 7 cihazlarına geçiş yapan kuruluşlardan kaynaklanan 40’tan az olayın bu güvenlik açığı ile bağlantılı olduğunu doğruladı.
Azaltma önlemleri ve güvenlik önerileri
CVE-2024-40766’nın aktif sömürüsüne yanıt olarak, hem Sonicwall hem de ASD’nin ACSC’si, maruziyeti en aza indirmeyi ve örgütsel savunmaları güçlendirmeyi amaçlayan bir dizi kapsamlı azaltma stratejisi yayınlamıştır.
Ürün yazılımı güncellemeleri ilk ve en kritik adımdır. Sonicwall cihazlarını kullanan kuruluşlar, sistemlerinin en son güvenli sürümlere güncellenmesini sağlamalıdır. Spesifik olarak, Gen 5 cihazları 5.9.2.14-13o veya daha sonraki sürümlere, Gen 6 cihazlarını sürüm 6.5.4.15.116n veya üstüne ve Gen 7 cihazlarını 7.3.0 sürümüne veya daha sonra yükseltmelidir.
Kimlik bilgisi hijyeni de hayati önem taşır. Tüm yerel SSL VPN kullanıcı şifreleri, özellikle kullanıcı hesaplarının uygun kimlik bilgisi güncellemeleri olmadan eski cihazlardan içe aktarıldığı durumlarda hemen sıfırlanmalıdır. Bu işlemi kolaylaştırmak için Sonicwall, yöneticilere yardımcı olmak için toplu bir şifre sıfırlama komut dosyası yayınladı.
Yetkisiz erişim riskini daha da azaltmak için, tüm Sonicwall SSL VPN hesaplarında çok faktörlü kimlik doğrulama (MFA) etkinleştirilmelidir. Zamana dayalı tek seferlik parolaların (TOTP) veya e-posta tabanlı bir kerelik parolaların (OTP) kullanımı, tehlikeye atılan kimlik bilgilerinin etkisini önemli ölçüde azaltabilir.
Ayrıca, SSL VPN ve WAN yönetim erişimini yalnızca güvenilir IP adresleriyle sınırlandırarak erişim kısıtlamaları uygulanmalıdır. Mümkünse, saldırı yüzeyini azaltmak için internete bakan erişim tamamen devre dışı bırakılmalıdır.
Son olarak, erken tespit için günlüğe kaydetme ve izleme gereklidir. Yöneticilere tüm SSL VPN giriş denemeleri için etkinlik günlüğünü etkinleştirmeleri tavsiye edilir. Hesap kilitleme mekanizmalarının uygulanması, kaba saldırıların ve güvenlik ekiplerinin şüpheli giriş davranışına karşı uyarılmasına yardımcı olacaktır.
Eski cihazlar savunmasız kalır
Sonicwall, her ikisi de yaşam sonu (EOL) olarak kategorize edilen Gen 5 ve NSA 2600 güvenlik duvarlarının güvenlik yamaları almayacağını açıklığa kavuşturdu. BuE modelleri aktif tehditlere maruz kalır ve kritik altyapıdan emekli veya izole edilmelidir.
Şirket, “NSA 2600, Gen 5 ve eski birimler bu istismara duyarlı ve yamalı olmayacak” dedi.
Sonicos 7.3’te yeni korumalar
Bu tehditlere karşı koymak için Sonicwall, Brute-Force tespiti, genişletilmiş MFA desteği ve geliştirilmiş yönetici hesabı izlemesi de dahil olmak üzere Sonicos 7.3’te yeni güvenlik geliştirmeleri uyguladı. Ancak, bu korumalar yalnızca güncellemeler uygulanırsa ve yapılandırmalar aktif olarak yönetilirse etkilidir.
Yöneticiler daha fazla teşvik edilir:
- Kullanılmayan veya hareketsiz kullanıcı hesaplarını kaldırın
- LDAP Oturum Açma Kimlik Bilgilerini Denetleyin ve Döndür
- Son yapılandırma değişikliklerini inceleyin
- Anomaliler için yerel yönetici günlüklerini inceleyin