SonicWall, güvenlik araştırmacılarının fidye yazılımı saldırılarında aktif olarak kullanıldığını tespit ettiği kritik bir güvenlik açığı nedeniyle, müşterilerine güvenlik duvarlarını güncellemeleri çağrısında bulundu.
CVE-2024-40766 olarak tanımlanan ve CVSS 9.3 derecesine sahip bu güvenlik açığı, SonicWall tarafından ilk olarak 22 Ağustos’ta duyuruldu. 6 Eylül tarihli bir güncellemede ise, açığın aktif olarak istismar edildiği belirtildi. Söz konusu zafiyet, SonicWall SonicOS yönetim erişimi ve SSLVPN bileşenlerinde uygunsuz erişim kontrolü nedeniyle yetkisiz kaynak erişimi ve belirli koşullarda güvenlik duvarının çökmesine neden olabiliyor.
Bu güvenlik açığı, SonicWall Gen 5 ve Gen 6 cihazları ile SonicOS 7.0.1-5035 ve önceki sürümlerini çalıştıran Gen 7 cihazlarını etkiliyor. Araştırmalar, fidye yazılımı işbirlikçilerinin, saldırılarının başlangıç vektörü olarak SonicWall cihazlarındaki SSLVPN hesaplarını ele geçirdiklerini ortaya koydu. Uzmanlar, cihazlardaki hesapların merkezi kimlik doğrulama çözümleri (örneğin Microsoft Active Directory) ile entegre edilmediğini, hesapların doğrudan cihazların üzerinde tutulduğunu tespit etti. Ayrıca, ele geçirilen hesaplarda çok faktörlü kimlik doğrulamanın (MFA) devre dışı bırakıldığı ve SonicOS yazılımının CVE-2024-40766’ya karşı savunmasız sürümler arasında olduğu belirtildi.
Uzmanlar, kullanıcıların en güncel SonicOS sürümüne yükseltme yapmalarının yanı sıra, yerel olarak yönetilen SSLVPN hesapları için MFA’yı etkinleştirmelerini ve Gen 5 ile Gen 6 cihaz sahiplerinin hesap parolalarını güncellemelerini öneriyor.
Bu güvenlik açığı, geçtiğimiz Pazartesi günü CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu’na eklendi ve federal kurumlara, 30 Eylül’e kadar bu açığı yamalama talimatı verildi.