Huntress’teki siber güvenlik araştırmacıları, Ekim başından bu yana 100’den fazla hesabın ele geçirildiği, birden fazla müşteri ortamında SonicWall SSL VPN cihazlarını hedef alan yaygın bir saldırı kampanyası tespit etti.
Tehdit aktörlerinin kaba kuvvet teknikleri yerine geçerli gibi görünen kimlik bilgilerini kullanarak birden fazla hesapta hızlı bir şekilde kimlik doğrulaması yapmasıyla, saldırılar koordineli ve karmaşık görünüyor.
Güvenliği ihlal edilmiş bulut yedeklemesini ve yakın veri kaybı riskini vurgulayan siber ihlal uyarısı
Hızlı Ateşli Saldırı Kampanyası Ortaya Çıkıyor
4 Ekim’den itibaren güvenlik analistleri, 16 müşteri ağında kümelenmiş kimlik doğrulama girişimlerini gözlemledi ve kötü amaçlı etkinliklerin büyük bir kısmı iki gün boyunca yoğunlaştı.
Bu izinsiz girişlerin hızı ve ölçeği, saldırganların meşru kimlik bilgilerine sahip olduklarını ve geleneksel güvenlik önlemlerini atlamalarına olanak sağladığını gösteriyor.
Gözlemlenen tüm saldırılar, merkezi bir komuta yapısına işaret eden 202.155.8.73 IP adresinden kaynaklanmıştır.
Çoğu durumda, saldırganlar bağlantıyı kesmeden önce kısa bağlantılar kurdular ve bu da keşif faaliyetlerini akla getiriyor.
Ancak, tehdit aktörlerinin ağ tarama operasyonları yürütmesi ve güvenliği ihlal edilmiş ortamlarda yerel Windows hesaplarına erişmeye çalışmasıyla, bazı olaylar istismar sonrası aşamalara yükseldi.
Zamanlama, SonicWall’ın son güvenlik tavsiyesi güncellemesiyle örtüşüyor ve yetkisiz tarafların, MySonicWall platformu aracılığıyla şirketin bulut yedekleme hizmetini kullanan tüm müşteriler için güvenlik duvarı yapılandırma yedekleme dosyalarına eriştiğini ortaya koyuyor.
Bu dosyalar, şifreleme korumalarına rağmen hedefli saldırıları kolaylaştırabilecek şifrelenmiş kimlik bilgileri ve yapılandırma verileri içerir.
Bu, SonicWall’ın güvenlik duvarı kurulumlarının %5’inden daha azının etkilendiğini iddia eden ilk Eylül açıklamasına göre önemli bir genişlemeyi temsil ediyor.
Şirket, yedekleme ihlali ile mevcut SSL VPN uzlaşma dalgası arasında doğrudan bir bağlantı kurmadı, ancak bu korelasyon, koordineli suiistimal çabaları hakkında ciddi endişelere yol açıyor.
SonicWall, müşterilerini MySonicWall.com hesapları aracılığıyla cihaz durumlarını derhal doğrulamaya ve kapsamlı güvenlik önlemleri almaya teşvik ediyor.
Kritik adımlar arasında WAN yönetimi erişiminin kısıtlanması, kimlik bilgisi sıfırlamaları tamamlanana kadar HTTP, HTTPS, SSH ve SSL VPN hizmetlerinin devre dışı bırakılması yer alır.
Kuruluşların, yerel yönetici hesapları, VPN önceden paylaşılan anahtarları, LDAP kimlik bilgileri ve SNMP ayarları dahil tüm kimlik doğrulama sırlarını sıfırlaması gerekir.
Harici API anahtarları, dinamik DNS kimlik bilgileri ve otomasyon sırları, derhal iptal edilmesini ve değiştirilmesini gerektirir. Gelişmiş günlük kaydı, şüpheli etkinlik açısından son yapılandırma değişikliklerini ve oturum açma girişimlerini izlemelidir.
Sıfırlamalar uygulandıktan sonra, yetkisiz erişim girişimlerine karşı sürekli izleme yapılarak hizmetler kademeli olarak yeniden sunulmalıdır.
Tüm yönetici ve uzak hesaplar için çok faktörlü kimlik doğrulama zorunlu kılınmalı ve yönetim rollerine en az ayrıcalık ilkeleri uygulanmalıdır.
Huntress, iyileştirme çabaları konusunda ortaklarla işbirliği yaparken bu kampanyayı takip etmeye devam ediyor ve daha fazla ağ sızmasını önlemek için acil eylemin kritik doğasını vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.