Sonicwall, SMA100 serisi cihazlarını etkileyen birden fazla güvenlik açığı düzeltildi; bunlardan biri (CVE-2025-32819) 2021’in başlarında sıfır gün saldırılarında kullanılan keyfi bir dosya silme kırılganlığı için bir yama baypası gibi görünüyor ve vahşi doğada da kullanılabilir.
Güvenlik açıkları ve saldırı zinciri
Sonicwall SMA100 Serisi aletleri, küçük ve orta boy işletmeler için birleşik güvenli bir erişim (VPN) ağ geçidi sağlar ve düzenli olarak saldırganlar tarafından hedeflenir.
Rapid7 araştırmacısı Ryan Emmons tarafından bildirilen, sabit güvenlik açıklarından ikisi, rasgele bir dosyayı silmek için düşük pratik bir SMA kullanıcı hesabıyla giriş yapabilen uzak bir saldırganın (CVE-2025-32819) ve yazılabilir hale getirmek için SMA cihazındaki herhangi bir dizine bir yol geçiş dizisi enjekte edin (CVE-2025-32820).
CVE-2025-32821, yalnızca cihazda yönetici ayrıcalıkları elde eden bir uzaktan saldırgan tarafından kullanılabilir ve cihaza bir dosya yüklemek için kabuk komut argümanlarını enjekte etmek için kullanılabilir.
Çarşamba günü yayınlanan bir yazıda Emmons, üç güvenlik açıkının, saldırganın savunmasız bir SMA cihazında kök seviyesi uzaktan kod yürütülmesi ile biten bir sırayla nasıl kaldırılabileceğini gösterdi:
- CVE-2025-32819, bir sistem yeniden başlatmayı fabrika varsayılan ayarlarına tetikleyecek ve böylece varsayılan SMA yönetici kullanıcısının şifresini “şifre” olarak sıfırlayacak birincil SQLite veritabanını silmek için uzaktan kullanılabilir.
- SMA web arayüzüne yönetici olarak oturum açtıktan sonra, belirli bir dizini yazılabilir hale getirmek için CVE-2025-32820 kullanılabilir
- CVE-2025-32821, cihaz tarafından yürütülecek olan dizin içine kötü amaçlı bir yürütülebilir dosya yazmak için kaldırılabilir
“Testimize dayanarak, kimlik doğrulanmamış Rasgele Dosya NCC Grubu tarafından açıklanan güvenlik açığını silme [in 2021] bir kimlik doğrulama kontrolü eklenerek yamalandı. Ancak, bu kimlik doğrulama kontrolü geçerli bir düşük ayrıcalık oturum çerezinden memnundur, bu nedenle sömürü hala geçerlidir ”diye açıkladı Emmons.
Böylece CVE-2025-32819, bir doğrulanmış Rasgele dosya güvenlik açığını sil, benzer şekilde kullanılabilir, ancak yalnızca saldırgan bir SMA kullanıcı hesabı için geçerli hesap kimlik bilgileri alırsa. Ne yazık ki, bunlar karanlık ağdan kolayca tedarik edilebilir veya kimlik avı veya kötü amaçlı yazılım yoluyla çalınabilir.
Yükselt ve araştır
Bilinen özel uzlaşma ve Rapid7 olay müdahale araştırmalarına dayanarak, Rapid7 CVE-2025-32819’un “vahşi doğada kullanılmış olabileceğine” inanmaktadır.
Sonicwall, müşterilere SMA 100 Serisi cihazlarını (SMA 200, 210, 400, 410, 500V) ürün yazılımı sürümüne yükseltmelerini tavsiye eder.
Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirerek kullanıcı hesapları ve yerleşik web uygulaması güvenlik duvarı özelliğinin sömürü riskini azaltmak için etkinleştirin.
“Sonicwall PSIirt, müşterilerin SMA cihazlarını incelemelerini önerir. [there have been] Yetkisiz girişler yok, ”dedi şirket de ve SMA1000 serisi aletlerinin bu güvenlik açıklarından etkilenmediğini doğruladı.
Son olarak, web arayüzü aracılığıyla cihaz (lar) a giriş yapan tüm kullanıcılar için şifreleri sıfırlamak, özellikle hesapların MFA etkin yoksa iyi bir fikirdir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!