Akira fidye yazılım grubu, SonicWall cihazlarında geçen yıl keşfedilen kritik bir güvenlik açığını yeniden kullanıma başladı. CVE-2024-40766 olarak bilinen bu açık, saldırganlara yetkisiz erişim sağlıyor. Yamaların uygulanmadığı SSL VPN uç noktaları üzerinden kurumsal ağlara sızıldığı rapor ediliyor.
Yamalanan Açık Tehlike Yaratmaya Devam Ediyor
SonicWall, bu açığı Ağustos 2024’te yamalamıştı. Ancak zafiyet, izinsiz kaynak erişimi ve güvenlik duvarlarının çökmesine neden olabiliyor. Güncelleme sonrası SonicWall, yöneticilere yerel SSLVPN hesap parolalarını değiştirmelerini tavsiye etmişti. Aksi halde saldırganların MFA ve TOTP sistemlerini ele geçirerek erişim sağlaması mümkün olabiliyor.
Akira Grubu Tekrar Sahada
Akira grubu bu açığı ilk olarak Eylül 2024’te aktif şekilde kullanmaya başlamıştı. Avustralya Siber Güvenlik Merkezi (ACSC) tarafından yayımlanan son uyarıya göre saldırılar yeniden artış gösterdi ve özellikle Avustralya’daki kurumlar hedef alındı. Rapid7 de benzer bulgular paylaşarak yamaların eksik uygulanmasının tehditleri büyüttüğüne dikkat çekti.
SonicWall’dan Açıklama: “Yeni Bir Sıfır Gün Değil”
SonicWall, saldırıların yeni bir sıfır gün açığına dayanmadığını ve mevcut faaliyetlerin doğrudan CVE-2024-40766 ile bağlantılı olduğunu teyit etti. Şirket ayrıca son bir ay içinde yaklaşık 40 güvenlik olayı için inceleme başlattığını açıkladı.
Sistem Yöneticilerine Kritik Öneriler
Etkilenen cihazlar arasında Gen 5, Gen 6 ve Gen 7 serisi güvenlik duvarları bulunuyor. Uzmanlara göre risklerin azaltılması için şu adımlar uygulanmalı:
- Cihazları 7.3.0 veya daha güncel yazılımlara yükseltmek.
- Tüm hesap parolalarını güncellemek.
- Çok faktörlü kimlik doğrulamasını (MFA) zorunlu kılmak.
- SSLVPN varsayılan gruplarındaki riskleri azaltmak.
- Sanal Ofis Portalı erişimini yalnızca güvenilir ağlarla sınırlandırmak.