Sonicwall, fidye yazılımı çeteleri nedeniyle müşterileri SSLVPN hizmetlerini devre dışı bırakmaları konusunda uyardı.
Uyarı, Arctic Wolf Labs’ın Cuma günü yaptığı açıklamada, 15 Temmuz’dan bu yana muhtemelen bir Sonicwall sıfır gün güvenlik açığı kullanan birden fazla Akira fidye yazılımı saldırısı gözlemlediğini bildirmesinden sonra geliyor.
Arctic Wolf Labs araştırmacıları, “İlk erişim yöntemleri bu kampanyada henüz doğrulanmadı.” Dedi. Diyerek şöyle devam etti: “Sıfır günlük bir güvenlik açığının varlığı oldukça makul olsa da, kaba kuvvet yoluyla kimlik bilgisi erişim, sözlük saldırıları ve kimlik bilgisi doldurma henüz her durumda kesin olarak göz ardı edilmemiştir.”
Arctic Wolf ayrıca Sonicwall yöneticilerine Cuma günü, bu saldırılarda bir Sonicwall sıfır gün güvenlik açığının istismar edilme olasılığı nedeniyle Sonicwall SSL VPN hizmetlerini geçici olarak devre dışı bırakmalarını tavsiye etti.
Siber güvenlik şirketi Huntress ayrıca Arctic Wolf’un Pazartesi günü bulgularını doğruladı ve bu kampanyayı araştırırken toplanan uzlaşma (IOCS) göstergelerini sağlayan bir rapor yayınladı.
Huntress, “Sonicwall VPN’lerinde muhtemel bir sıfır günlük güvenlik açığı, MFA’yı atlamak ve fidye yazılımlarını dağıtmak için aktif olarak sömürülüyor.” “Huntress, VPN hizmetinin IP izin listeleme yoluyla hemen veya erişimi ciddi şekilde kısıtlamasını önerir. Tehdit aktörlerinin ilk ihlalden sonraki saatler içinde doğrudan etki alanı denetleyicilerine döndüğünü görüyoruz.”
Aynı gün Sonicwall, bu kampanyanın farkında olduğunu doğruladı ve müşterileri güvenlik duvarlarını devam eden saldırılara karşı güvence altına almaya çağıran bir danışma yayınladı:
- Mümkün olduğunca SSL VPN hizmetlerini devre dışı bırakma,
- SSL VPN bağlantısını güvenilir kaynak IP adresleriyle sınırlamak,
- SSL VPN uç noktalarını hedefleyen bilinen tehdit aktörlerini tanımlamak ve engellemek için botnet koruması ve coğrafi IP filtreleme gibi güvenlik hizmetlerinin etkinleştirilmesi,
- Kimlik bilgisi kötüye kullanım riskini en aza indirmek için tüm uzaktan erişim için çok faktörlü kimlik doğrulama (MFA) uygulamak,
- Kullanılmayan hesapların kaldırılması.
Şirket, “Son 72 saat içinde, SSLVPN’nin etkinleştirildiği Gen 7 Sonicwall güvenlik duvarlarını içeren hem dahili hem de harici olarak bildirilen siber olaylarda dikkate değer bir artış oldu.” Dedi.
Diyerek şöyle devam etti: “Daha önce açıklanmış bir güvenlik açığına bağlı olup olmadıklarını veya yeni bir güvenlik açığının sorumlu olup olmadığını belirlemek için bu olayları aktif olarak araştırıyoruz. Lütfen uyanık olun ve soruşturmamıza devam ederken maruz kalmayı azaltmak için yukarıdaki hafifletmeleri hemen uygulayın.”
İki hafta önce Sonicwall, yöneticileri SMA 100 cihazlarını, açılmamış cihazlarda uzaktan kod yürütme kazanmak için kullanılabilecek kritik bir güvenlik açığı (CVE-2025-40599) karşısında yamaları konusunda uyardı.
Saldırganlar, CVE-2025-40599’dan yararlanmak için yönetici ayrıcalıklarına ihtiyaç duysa da ve şu anda bu güvenlik açığının aktif olarak kullanıldığına dair bir kanıtı olmasa da, şirket hala bu cihazlar yeni aşırı köklü kötü amaçlı yazılımları dağıtmak için tehlikeye atılmış kimlik bilgilerini kullanan saldırıları hedefledikleri için SMA 100 cihazlarını güvence altına almaya çağırdı.
Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.
Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.