Fidye yazılımı iştirakleri, kurbanların ağlarını ihlal etmek için Sonicwall Sonicos güvenlik duvarı cihazlarında kritik bir güvenlik açığından yararlanır.
CVE-2024-40766 olarak izlenen bu yanlış erişim kontrolü kusuru, Gen 5, Gen 6 ve Gen 7 güvenlik duvarlarını etkiler. Sonicwall 22 Ağustos'ta yamaladı ve sadece güvenlik duvarlarının yönetim erişim arayüzünü etkilediği konusunda uyardı.
Ancak Cuma günü Sonicwall, güvenlik açığının güvenlik duvarı SSLVPN özelliğini de etkilediğini ve şu anda saldırılarda sömürüldüğünü açıkladı. Şirket, müşterileri vahşi sömürü ile ilgili ayrıntıları paylaşmadan "etkilenen ürünler için yamayı mümkün olan en kısa sürede uygulamaya" uyardı.
Aynı gün, Arktik Kurt Güvenlik Araştırmacıları, saldırıları, Sonicwall cihazlarını hedeflerinin ağlarına ilk erişim elde etmesini hedefleyen Akira Fidye Yazılım İştirakleri ile ilişkilendirdi.
Arctic Wolf'da kıdemli bir tehdit istihbaratı araştırmacısı Stefan Hostetler, "Her durumda, tehlikeye atılan hesaplar, Microsoft Active Directory gibi merkezi bir kimlik doğrulama çözümüyle entegre olmak yerine cihazların kendileri için yereldi." Dedi.
"Ayrıca, MFA tehlikeye atılan tüm hesaplar için devre dışı bırakıldı ve etkilenen cihazlardaki Sonicos ürün yazılımı CVE-2024-40766'ya karşı savunmasız olduğu bilinen sürümler içerisindeydi."
Siber güvenlik kıyafeti Rapid7 ayrıca son olaylarda Sonicwall SSLVPN hesaplarını hedefleyen fidye yazılımı gruplarını gördü, ancak "CVE-2024-40766'yı bu olaylara bağlayan kanıtlar hala durumsal" dedi.
Arctic Wolf ve Rapid7, Sonicwall'un uyarısını yansıttı ve yöneticileri en son Sonicos ürün yazılımı sürümüne en kısa sürede yükseltmeye çağırdı.
CISA Pazartesi günü davayı izleyerek, bilinen sömürülen güvenlik açıkları kataloğuna kritik erişim kontrolü kusurunu ekleyerek, federal ajanslara 30 Eylül'e kadar üç hafta içinde savunmasız Sonicwall güvenlik duvarlarını üç hafta içinde güvence altına almalarını emretti.
Sonicwall azaltma önerileri arasında güvenlik duvarı yönetiminin ve SSLVPN'nin güvenilir kaynaklara erişimini kısıtlamak ve mümkün olduğunca internet erişimini devre dışı bırakma yer alır. Yöneticiler ayrıca TOTP veya e-posta tabanlı tek seferlik parolalar (OTPS) kullanan tüm SSLVPN kullanıcıları için çok faktörlü kimlik doğrulama (MFA) etkinleştirmelidir.
Saldırganlar genellikle Siber Casusluk ve Fidye Yazılımı Saldırılarında Sonicwall cihazlarını ve cihazlarını hedefler. Örneğin, Sonicwall PSIRT ve Mantiant geçen yıl, şüpheli Çinli bilgisayar korsanlarının (UNC4540), eşleştirilmemiş Sonicwall Güvenli Mobil Erişim (SMA) cihazlarında ürün yazılımı yükseltmelerinden kurtulan kötü amaçlı yazılım kurduğunu açıkladı.
Şimdi Akira'nın katıldığı Hellokitty ve FiveHands dahil olmak üzere birçok fidye yazılımı çetesi, kurbanlarının kurumsal ağlarına ilk erişim elde etmek için Sonicwall güvenlik hatalarından da yararlandı.
Sonicwall, devlet kurumları ve dünyanın en büyük şirketlerinden bazıları da dahil olmak üzere 215 ülke ve bölgede 500.000'den fazla ticari müşteriye hizmet vermektedir.
Sonicwall SSLVPN Erişim Kontrol Kususu artık saldırılarda sömürüldü
FBI: Ransomhub fidye yazılımı Şubat ayından bu yana 210 kurbanı ihlal etti
İranlı korsanlar, ihlal edilen orgs için fidye yazılımı çeteleriyle çalışıyor
Cisa, fidye yazılımı saldırılarında sömürülen Jenkins RCE Bug hakkında uyarıyor
CISA, kritik Solarwinds RCE Hatası saldırılarda kullanıldığı konusunda uyarıyor
Kaynak: Bleeping Computer