Büyük bir ihlalin hassas güvenlik duvarı verilerini açığa çıkarmasından yalnızca birkaç hafta sonra SonicWall SSLVPN cihazlarını hedef alan saldırılarda çok sayıda müşteri ağını etkileyen bir artış yaşandı.
4 Ekim 2025’ten itibaren tehdit aktörleri, kaba kuvvet yöntemleri yerine çalınmış gibi görünen geçerli kimlik bilgilerini kullanarak 16 ortamda 100’den fazla hesapta hızlı bir şekilde kimlik doğrulaması gerçekleştirdi.
Bu koordineli saldırı, kurumsal ortamlardaki uzaktan erişim araçlarına yönelik, muhtemelen yakın zamanda SonicWall’da yaşanan bir bulut depolama olayından kaynaklanabilecek artan riskleri vurguluyor.
İhlaller hızla ortaya çıktı ve kümelenmiş giriş denemeleri önümüzdeki iki gün içinde zirveye ulaştı. Çoğu durumda saldırganlar 202.155.8 IP adresinden kısa süreliğine bağlanır.[.]Başka bir işlem yapmadan bağlantıyı kesmeden önce 73.
Ancak daha ciddi durumlarda ağ taramaları gerçekleştirdiler ve yerel Windows hesaplarına erişmeye çalıştılar, bu da daha derin keşif veya yanal hareket çabalarına işaret ediyordu.
Huntress, ölçeğin ve hızın, saldırganların kimlik bilgilerine ilişkin içeriden bilgi sahibi olduğunu gösterdiğini ve güvenli uzaktan erişim için SonicWall’a güvenen kuruluşlar için alarmları yükselttiğini belirtti.
SonicWall SSLVPN Saldırı Altında
SonicWall’ın son güvenlik tavsiyesi, bilgisayar korsanlarının MySonicWall bulut hizmetini kullanan her müşteri için şifrelenmiş yapılandırma yedeklemelerine eriştiğini doğrulayarak endişeleri artırdı.
Bu dosyalar, şifrelenmiş olsa bile, şifresi çözülürse hedeflenen istismarlara olanak sağlayabilecek kimlik bilgileri ve ayarlar gibi kritik verileri içerir. Şirket ilk olarak Eylül ortasında güvenlik duvarlarının %5’inden daha azının etkilendiğini bildirdi ancak 10 Ekim’deki güncelleme, ihlalin yedekleme özelliğinin tüm kullanıcılarını etkilediğini ortaya çıkardı.
Huntress, ihlal ile SSLVPN saldırıları arasında doğrudan bir bağlantı olduğunu doğrulamasa da olayların zamanlaması ve doğası şüpheli bir şekilde örtüşüyor.
Firma, savunucuların benzer etkinlikleri belirlemesine yardımcı olmak için şüpheli IP de dahil olmak üzere güvenlik ihlali göstergelerini paylaşıyor. SonicWall, müşterilerin etkilenen cihazları kontrol etmeleri ve açığa çıkan tüm kimlik bilgilerinin sıfırlanması gibi ayrıntılı iyileştirme adımlarını takip etmeleri için derhal MySonicWall.com’da oturum açmalarını tavsiye ediyor.
Azaltmalar
Riskleri azaltmak için işletmelerin geniş alan ağı yönetimini ve mümkün olduğu durumlarda uzaktan erişimi kısıtlayarak hızlı hareket etmesi gerekiyor. Kimlik bilgileri tamamen sıfırlanana kadar HTTP, HTTPS, SSH, SSL VPN ve gelen yönetim arayüzlerini geçici olarak devre dışı bırakın.
Bu, etkilenen güvenlik duvarlarındaki yerel yönetici şifrelerinin, VPN önceden paylaşılan anahtarlarının, LDAP veya RADIUS bağlama kimlik bilgilerinin, kablosuz parolaların ve SNMP ayarlarının iptal edilmesini içerir.
Ayrıca kuruluşların harici API anahtarlarını, dinamik DNS yapılandırmalarını, SMTP veya FTP hesaplarını ve yönetim sistemlerine bağlı tüm otomasyon sırlarını devretmesi gerekir.
Gelişmiş günlük kaydı, son oturum açma işlemlerinin ve anormalliklerdeki değişikliklerin incelenmesi ve adli analiz için kayıtların saklanması açısından çok önemlidir. Sıfırlamalar tamamlandıktan sonra, yetkisiz yeniden girişleri izlerken hizmetleri kademeli olarak yeniden etkinleştirin.
Tüm yönetici ve uzak hesaplarda çok faktörlü kimlik doğrulamanın zorunlu kılınması ve en az ayrıcalık ilkelerinin uygulanması, savunmayı uzun vadede güçlendirecektir.
Huntress bu tehditleri izlemeye devam ediyor ve kimlik bilgilerine dayalı saldırılar çağında proaktif tedbiri vurgulayarak destek kaynakları aracılığıyla rehberlik sunuyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
