WatchTowr, Sonicwall SMA 100 güvenlik açıklarının (CVE-2024-38475 ve CVE-2023-44221) aktif olarak sömürülmesini potansiyel olarak tam sistem devralma ve oturum kaçırmaya yol açar. Etkilenen modeller, mevcut yamalar ve CISA’nın acil uyarısı hakkında bilgi edinin.
WatchTowr’daki siber güvenlik araştırmacıları, Sonicwall’un yaygın olarak kullanılan SMA 100 (güvenli mobil erişim) cihazlarındaki bilinen güvenlik açıklarından aktif olarak yararlanan kötü niyetli tehdit aktörlerini tespit ettiler.
Hackread.com ile paylaşılan en son blog yayınlarında belgelenen bu keşif, saldırganların bu cihazlar üzerinde potansiyel olarak tam idari kontrol elde etmek için iki özel güvenlik açıkını nasıl birleştirdiğini ortaya koyuyor.
Kanıtlar, bu tekniklerin zaten gerçek dünya saldırılarında kullanıldığını, bu da etkilenen işletmeler için acil farkındalık ve eylemi kritik hale getirdiğini göstermektedir. Araştırma, müşterilerin Sonicwall sisteminde olağandışı bir etkinlik bildirmesinden sonra başladı ve Orange Tsai tarafından keşfedilen CVE-2024-38475 olarak izlenen Apache Web Server yazılımında bir güvenlik açığının keşfedilmesine yol açtı. Kusur, yetkisiz dosya okumasına izin verir ve Sonicwall yapılandırmasındaki varlığı cihazı savunmasız hale getirir.
İkinci kritik güvenlik açığı olan CVE-2023-44221, Dbappsecurity Co., Ltd.’nin Wenjie Zhong (H4LO) tarafından keşfedilen bir komut enjeksiyon kusurudur. Bu zayıflık, etkilenen sistemdeki kendi komutlarını yürütmek için zaten bir miktar erişim kazanmış bir saldırgana izin verir.
Bu iki güvenlik açığının kombinasyonu özellikle ilgilidir. Dosya Okuma Güvenlik Açığı (CVE-2024-38475), yönetici oturumu belirteçleri gibi hassas bilgileri çıkarmak için kullanılabilir ve giriş bilgileri ihtiyacını etkili bir şekilde atlar. Bu ilk taban belirlendikten sonra, komut enjeksiyon güvenlik açığı (CVE-2023-44221), potansiyel olarak oturum kaçırma ve tam sistem uzlaşmasına yol açan keyfi komutlar yürütmek için kullanılabilir.
Güvenlik açıkları, SMA 200, SMA 210, SMA 400, SMA 410 ve SMA 500V modelleri dahil olmak üzere SMA 100 serisi aletlerini etkiler. Blog yazısı, Apache “dosya adı karışıklığı” ve “Documentroot Confusion” dan yararlanmak ve Oturum Veritabanı gibi hassas dosyalara erişmek de dahil olmak üzere ilgili teknik adımları ortaya koymaktadır.
Araştırmacılar, komut enjeksiyon kusurundan yararlanmak için parçalarda dosya talep etmek gibi teknikleri ve hatta Sonicwall yazılımında uygulanan güvenlik önlemlerinde ilk denemeleri atlamak gibi teknikleri kullanarak bu verilerin güvenilir bir şekilde çıkarılmasındaki zorlukların üstesinden geldiler.
WatchTowr araştırmacıları raporlarında, bu güvenlik açıklarının tam bir sistem devralması elde etmek için birlikte zincirlenebileceğini belirtiyor. Bildirildiğine göre, CVE-2023-44221, Aralık 2023’te yamalandı (firmware version 10.2.1.10-62sv ve daha yüksek) ve CVE-2024-38475, Aralık 2024’te yamalandı (firmware version 10.2.1.14-75sv ve daha yüksek).
WatchTowr ayrıca güvenlik açıklarını algılamak ve kullanmak için bir araç (algılama artefakt jeneratörü) geliştirmiştir. Bu araç, kuruluşların risklerini değerlendirmelerine, gerekli yamaları uygulamalarına ve güvenli önlemlere yardımcı olabilir.
CISA’nın bu güvenlik açıklarını, 1 Mayıs 2025’te bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklemesi ve federal ajansları 22 Mayıs 2025’e kadar yamaları uygulamaya zorladı, durumun aciliyetini vurgulamaktadır. Bu nedenle, Sonicwall SMA100 gibi kritik kenar cihazlarında bunları derhal ele almak çok önemlidir.