PekSec

SonicWall Bulut Yedekleme İhlali Sonrası Müşterilere Şifre Sıfırlama Uyarısı Yaptı

yazar:

gbpekalp
kategori:

Güvenlik İhlali Detayları

SonicWall, MySonicWall hesaplarını etkileyen bir güvenlik ihlali sonucunda müşterilerinin firewall yapılandırma yedekleme dosyalarının açığa çıkması nedeniyle kimlik bilgilerinin sıfırlanması gerektiğini duyurdu.

Şirket, firewall bulut yedekleme hizmetini hedef alan şüpheli aktiviteler tespit ettiğini ve bilinmeyen saldırganların müşterilerinin %5’inden azını etkileyen bulutta saklanan yedekleme tercih dosyalarına erişim sağladığını açıkladı.

Saldırının Özellikleri

  • Dosyalar içindeki kimlik bilgileri şifreli olmasına rağmen, saldırganların ilgili firewall’ı potansiyel olarak istismar etmesini kolaylaştırabilecek bilgiler de içeriyordu
  • Bu bir ransomware saldırısı değil, brute-force saldırıları serisiydi
  • Dosyaların online sızdırıldığına dair bir kanıt bulunmuyor
  • Saldırının sorumlusu henüz bilinmiyor

Müşteriler İçin Önerilen Adımlar

Acil Güvenlik Önlemleri

  • MySonicWall.com hesabına giriş yaparak bulut yedeklemelerinin aktif olup olmadığını kontrol edin
  • Etkilenen seri numaralarının hesaplarda işaretlenip işaretlenmediğini doğrulayın
  • WAN’dan hizmet erişimini sınırlayın
  • HTTP/HTTPS/SSH yönetim erişimini kapatın
  • SSL VPN ve IPSec VPN erişimini devre dışı bırakın
  • Firewall’da kayıtlı şifre ve TOTP’leri sıfırlayın
  • Logları ve son yapılandırma değişikliklerini olağandışı aktiviteler açısından inceleyin

Yeni Tercih Dosyası Güncellemeleri

SonicWall tarafından sağlanan yeni tercih dosyaları şu değişiklikleri içeriyor:

  • Tüm yerel kullanıcılar için rastgele şifreler
  • TOTP bağlantısı sıfırlaması (aktifse)
  • Rastgele IPSec VPN anahtarları

Devam Eden Tehditler

Bu olay, Akira ransomware grubu ile bağlantılı saldırganların yamalı olmayan SonicWall cihazlarını hedef almaya devam ettiği bir dönemde gerçekleşti. Saldırganlar, bir yıllık güvenlik açığını (CVE-2024-40766) istismar ederek hedef ağlara ilk erişimi elde etmeye çalışıyorlar.

Geçtiğimiz hafta, siber güvenlik şirketi Huntress, saldırganların çok faktörlü kimlik doğrulamayı (MFA) atlatmak ve güvenlik yazılımının kaldırılmasını deneyebilmek için düz metin kurtarma kodlarını kullandığı bir Akira ransomware olayını detaylandırdı.

https://thehackernews.com/2025/09/sonicwall-urges-password-resets-after.html

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir