Sonicwall, müşterileri saldırganların uzaktan kod yürütülmesine izin verebilecek kritik kimliği doğrulanmış keyfi dosya yükleme güvenlik açığına karşı SMA 100 Serisi aletlerini yamaya çağırıyor.
Güvenlik kusuruna (CVE-2025-40599 olarak izlenir), cihazların web yönetimi arayüzlerinde sınırsız bir dosya yükleme zayıflığından kaynaklanır ve bu da yönetici ayrıcalıkları olan uzaktan tehdit aktörlerinin rasgele dosyaları sisteme yüklemesine izin verebilir.
Şirket, “Sonicwall, SMA 100 Serisi ürünlerinin (SMA 210, 410 ve 500V) kullanıcılarının bu güvenlik açığını gidermek için belirtilen sabit sürüm sürümüne yükseltmesini şiddetle tavsiye ediyor.” Dedi. “Bu güvenlik açığı, Sonicwall SSL SMA1000 Serisi ürünlerini veya Sonicwall güvenlik duvarlarında çalışan SSL-VPN’yi etkilemez.”
Saldırganlar CVE-2025-40599 başarılı sömürü için yönetici ayrıcalıklarına ihtiyaç duyacak olsa da ve Sonicwall henüz bu kırılganlığın aktif olarak sömürüldüğüne dair kanıt bulamamış olsa da, müşterileri Cihazlarını güvence altına almaları konusunda uyardı, çünkü SMA 100 aletleri uzatılmış kimlik bilgileri kullanılarak saldırılarda hedefleniyor.
Google Tehdit İstihbarat Grubu (GTIG) araştırmacılarının geçen hafta uyarıldığı gibi, UNC6148 olarak izlenen bilinmeyen bir tehdit oyuncusu, tamamen yamalı Sonicwall Sma 100 Serisi cihazlarda Overstep adlı yeni bir rootkit kötü amaçlı yazılım dağıtıyor. GTIG, UNC6148’in veri hırsızlığı ve gasp saldırılarına katıldığına inanıyor ve ayrıca uçurum fidye yazılımını (vSociety olarak da izlenir) dağıtabilir.
Bu saldırıları araştırırken, müfettişler, tehdit oyuncusunun Ocak ayında hedeflenen cihazın kimlik bilgilerini birden fazla güvenlik açığından yararlanarak çaldığını gösteren kanıtlar buldular (CVE-2021-20038, CVE-2024-38475, CVE-2021-20035, CVE-2021-20039, CVE-2025-32819, CVE-2025-32819).
Sonicwall ‘güçlü bir şekilde’ müşterilere, yetkisiz erişimi kontrol ederek ve şüpheli aktivite için cihaz günlüklerini ve bağlantı geçmişini inceleyerek GTIG raporundan uzlaşma göstergeleri (IOCS) için kontrol etmek için müşterilere tavsiye etti. Herhangi bir uzlaşma kanıtı bulurlarsa, yöneticilere yardım için hemen Sonicwall desteğine ulaşmaları tavsiye edilir.
Cihazlarını güvence altına almak için kullanıcılar harici arabirimlerde uzaktan yönetim erişimini sınırlandırmalı, tüm parolaları sıfırlamalı ve hem kullanıcılar hem de yöneticiler için OTP (bir kerelik şifre) bağlamasını yeniden başlatmalıdır. Ayrıca çok faktörlü kimlik doğrulama (MFA) uygulamalı ve Web Uygulaması Güvenlik Duvarı’nı (WAF) etkinleştirmelidirler.
Bu yılın başlarında Sonicwall, güvenli mobil erişim (SMA) cihazlarını hedefleyen saldırılarda kullanılan diğer güvenlik açıklarını işaretledi.
Mayıs ayında şirket, müşterileri, biri saldırılarda sömürülen olarak etiketlenmiş olan uzak kod yürütülmesini kök olarak kazanmak için zincirlenebilen üç güvenlik açıklığını (CVE-2025-32819, CVE-2025-32820 ve CVE-2025-32821) yamaya teşvik etti.
Bir ay önce Sonicwall, en az Ocak 2025’ten beri uzaktan kod yürütme saldırılarında kullanılmayan başka bir SMA100 kusurunu (CVE-2021-20035) etiketledi.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.