SonicWall güvenlik duvarları Akira fidye yazılımı saldırılarının hedefinde: Yeni bir güvenlik açığı mı kullanılıyor
Siber güvenlik firması Arctic Wolf, Temmuz ortasından bu yana SonicWall SSL VPN cihazlarına yönelik Akira fidye yazılımı saldırılarında artış yaşandığını bildirdi. Henüz doğrulanmamış olsa da, saldırıların bilinmeyen bir sıfırıncı gün açığı üzerinden gerçekleştiği düşünülüyor.
Arctic Wolf Uyardı: SonicWall Cihazları Akira Fidye Yazılımı Saldırılarıyla Hedefte
Siber güvenlik şirketi Arctic Wolf'un açıklamasına göre, Temmuz ayının ikinci yarısından itibaren SonicWall güvenlik duvarı cihazları Akira fidye yazılımı saldırılarında hedef alınmaya başladı. Saldırganların, henüz doğrulanmamış olmakla birlikte, daha önce bilinmeyen bir güvenlik açığını kullanıyor olabileceği değerlendiriliyor.
Akira fidye yazılımı Mart 2023'te ortaya çıktı ve kısa sürede dünya genelinde çok sayıda sektörü hedef aldı. Bugüne kadar 300’den fazla kurumu karanlık ağ sızıntı portalına ekleyen grup; Nissan, Hitachi ve Stanford Üniversitesi gibi yüksek profilli kuruluşlara yönelik saldırılarla dikkat çekti. FBI verilerine göre, Akira grubu Nisan 2024 itibarıyla 250'den fazla kurbanından toplamda 42 milyon doların üzerinde fidye topladı.
Arctic Wolf Labs araştırmacıları, saldırıların çoğunun SonicWall SSL VPN bağlantıları üzerinden yetkisiz erişim yoluyla gerçekleştiğini, ilk sızmanın 15 Temmuz'da gözlendiğini açıkladı. Henüz erişim yöntemi kesinleşmemekle birlikte, bir sıfırıncı gün açığı olasılığı güçlü şekilde değerlendiriliyor. Ancak brute force, sözlük saldırıları veya kimlik bilgisi dolandırıcılığı gibi yöntemlerin de tamamen dışlanmadığı belirtildi.
Uzun Süreli ve Hedefli Kampanya
Saldırganlar, VPN üzerinden sağlanan ağ erişimini çok kısa sürede veri şifreleme aşamasına taşıyor. Bu durum, Ekim 2024’ten bu yana tespit edilen benzer saldırı örüntüleriyle örtüşüyor ve SonicWall cihazlarına yönelik süregelen ve organize bir kampanyaya işaret ediyor.
VPN bağlantılarında genellikle geniş bant internet servis sağlayıcıları kullanılırken, bu saldırılarda sanal özel sunucu (VPS) tabanlı VPN kimlik doğrulama hizmetlerinin tercih edildiği tespit edildi. Bu detay, saldırıların sistematik biçimde yürütüldüğünü ortaya koyuyor.
Arctic Wolf’un Tavsiyeleri ve Güvenlik Önlemleri
Arctic Wolf, SonicWall cihazlarında potansiyel bir sıfırıncı gün açığının aktif olarak istismar ediliyor olabileceği ihtimaline karşı, yöneticilere SSL VPN hizmetlerini geçici olarak devre dışı bırakmalarını tavsiye etti. Ayrıca detaylı günlük kaydı alma, uç nokta izleme ve VPS tabanlı VPN oturumlarının engellenmesi gibi ek güvenlik önlemlerinin devreye alınması gerektiği bildirildi.
SMA 100 Cihazları İçin Güncelleme Uyarısı
Saldırılara ilişkin Arctic Wolf raporu, SonicWall’un müşterilerini SMA 100 cihazlarındaki kritik bir güvenlik açığı (CVE-2025-40599) hakkında uyarmasından bir hafta sonra yayımlandı. SonicWall, söz konusu açığın kötüye kullanılabilmesi için yönetici ayrıcalığı gerektiğini ve şu anda aktif bir sömürü izine rastlanmadığını belirtti. Ancak yine de tüm kullanıcıların sistemlerini güncellemeleri istendi.
Google Threat Intelligence Group (GTIG) tarafından yayımlanan bir başka raporda, saldırganların yetkisiz erişim elde ettikten sonra OVERSTEP adlı yeni bir rootkit zararlı yazılım yüklediği belirtildi.
SonicWall, sanal veya fiziksel SMA 100 cihazı kullanan tüm müşterilere, GTIG tarafından paylaşılan bulgu göstergeleri (IoC) doğrultusunda sistem günlüklerini incelemeleri ve şüpheli faaliyet durumunda destek ekipleriyle irtibata geçmeleri çağrısında bulundu.
Not: SonicWall tarafından konuya ilişkin henüz resmi bir açıklama yapılmamıştır.
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
