Sonicwall, müşterilerini, bunlardan biri saldırılarda sömürülen olarak etiketlenen güvenli mobil erişim (SMA) cihazlarını etkileyen üç güvenlik açıklarını yamaya çağırdı.
Rapid7 Siber Güvenlik Araştırmacısı Ryan Emmons tarafından keşfedilen ve bildirilen üç güvenlik kusuru (CVE-2025-32819, CVE-2025-32820 ve CVE-2025-32821), kök ve uzlaşma savunmasız örnek olarak uzaktan kod yürütme kazanmak için saldırganlar tarafından zincirlenebilir.
Güvenlik açıkları SMA 200, SMA 210, SMA 400, SMA 410 ve SMA 500V cihazlarını etkiler ve ürün yazılımı sürüm 10.2.1.15-81SV ve daha yüksek olarak yamalanır.
Sonicwall Çarşamba danışmanında, “Sonicwall, SMA 100 Serisi ürünlerinin (SMA 200, 210, 400, 410 ve 500V) kullanıcılarına bu güvenlik açıklarını ele almak için söz konusu sabit sürüm versiyonuna yükseltmesini şiddetle tavsiye ediyor.” Dedi.
CVE-2025-32819’un başarılı bir şekilde kullanılması, tehdit aktörlerinin birincil SQLite veritabanını silmesine, varsayılan SMA yönetici kullanıcısının şifresini sıfırlamasına ve SMA web arayüzüne yönetici olarak oturum açmasına izin verir. Ardından, /bin klasörünü yazılabilir hale getirmek için CVE-2025-32820 yolu geçiş güvenlik açığından yararlanabilirler ve daha sonra CVE-2025-32821’den yararlanarak uzaktan kod yürütmeyi kök olarak kazanabilirler.
Rapid7, “SMA SSLVPN kullanıcı hesabına erişimi olan bir saldırgan, hassas bir sistem dizini yazılabilir hale getirmek, ayrıcalıklarını SMA yöneticisine yükseltmek ve bir sistem dizinine yürütülebilir bir dosya yazmak için bu güvenlik açıklarını zincirleyebilir. Bu zincir, kök seviyesi uzaktan kod yürütülmesine neden olabilir.” Dedi.
“Bilinen (özel) IOC’lere ve Rapid7 olay müdahale araştırmalarına dayanarak, bu güvenlik açığının vahşi doğada kullanılmış olabileceğine inanıyoruz.”
Sonicwall, yöneticilere SMA cihazlarının günlüklerini yetkisiz giriş belirtileri için kontrol etmelerini ve SMA100 cihazlarında bir güvenlik önlemi olarak Web Uygulaması Güvenlik Duvarı ve Multifaktör Kimlik Doğrulaması’nı (MFA) etkinleştirmelerini tavsiye etti.
Geçen hafta Sonicwall, müşterileri SMA cihazlarını etkileyen diğer iki güvenlik açıkının (CVE-2023-44221 ve CVE-2024-38475) şimdi komutları enjekte etmek ve kodları uzaktan yürütmek için saldırılarda aktif olarak sömürüldüğü konusunda uyardı.
Şirket, Nisan ayında SMA100 VPN aletlerini hedefleyen uzaktan kod yürütme saldırılarında kullanıldığı gibi başka bir yüksek şiddetli kusur (CVE-2021-20035) işaretledi. Bir gün sonra, siber güvenlik şirketi Arctic Wolf, güvenlik hatasının en az Ocak 2025’ten beri aktif sömürü altında olduğunu açıkladı.
Ocak ayında, Sonicwall ayrıca yöneticileri sıfır gün saldırılarında kullanılan SMA1000 güvenli erişim ağ geçitlerinde kritik bir kusura atmaya çağırdı ve bir ay sonra, hackerların VPN oturumlarını ele geçirmesine izin veren Gen 6 ve Gen 7 güvenlik duvarlarını etkileyen aktif olarak sömürülen bir kimlik doğrulama baypası kusuru konusunda uyardı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.