Siber güvenlik araştırmacıları, SonicWall SSL VPN cihazlarını hedef alan geniş kapsamlı bir siber saldırı kampanyasının varlığını ortaya çıkardı. Söz konusu olay, 16 farklı müşteri hesabında, yüzün üzerinde VPN kullanıcısını olumsuz etkilediği belirtiliyor.
Huntress tarafından elde edilen bilgilere göre, saldırganlar SonicWall VPN cihazları aracılığıyla çok sayıda hesaba hızlı bir şekilde yetkisiz erişim sağladı. Bu durum, kaba kuvvet saldırısından ziyade, ele geçirilmiş geçerli kimlik bilgilerinin kullanıldığı şüphesini güçlendiriyor.
Saldırı faaliyetlerinin büyük bir bölümünün 4 Ekim 2025 tarihinde başladığı tespit edildi. Kullanılan oturum açma girişimlerinin kaynağının 202.155.8[.]73 IP adresi olduğu belirlendi. Huntress tarafından incelenen vakalarda, saldırganların kimi durumlarda kısa süreli bağlantılar kurarak ağdan ayrıldığı, bazı durumlarda ise yerel Windows hesaplarına erişmeye çalıştığı ve ağda keşif amaçlı taramalar gerçekleştirdiği rapor edildi.
Bu gelişme, SonicWall’ın kısa bir süre önce meydana gelen ve MySonicWall hesaplarında depolanan güvenlik duvarı yapılandırma dosyalarının yetkisiz kişilerce görüntülendiğini doğrulayan başka bir güvenlik olayı hakkında yaptığı açıklamanın hemen ertesinde yaşandı.
Güvenlik uzmanı Arctic Wolf, yapılandırma dosyalarının kullanıcı, grup ve etki alanı ayarları, DNS ve log yapılandırmaları, sertifikalar gibi kritik bilgileri içerdiğini vurguladı. Bu verilerin, kötü niyetli aktörler tarafından ağlara yetkisiz erişim sağlamak amacıyla kullanılabileceği ifade edildi.
Huntress, mevcut aşamada bu veri ihlali ile VPN saldırıları arasında doğrudan bir bağlantı tespit edilemediğini bildirdi. Bununla birlikte, riskin yüksek olduğu ve gerekli önlemlerin alınmasının büyük önem taşıdığı vurgulandı.
Uzmanlar, MySonicWall bulut yedekleme hizmetini kullanan kuruluşların cihaz şifrelerini ve kimlik bilgilerini derhal yenilemelerini tavsiye ediyor. Ayrıca, WAN yönetimi ve uzaktan erişimin sınırlandırılması, güvenlik duvarına erişen tüm harici API anahtarlarının iptal edilmesi, oturum açma hareketlerinin dikkatle izlenmesi ve yönetici hesaplarında çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesi öneriliyor.
Saldırıların, SonicWall cihazlarını hedef alan fidye yazılımı kampanyalarındaki artışla aynı döneme denk geldiği belirtiliyor. Bu saldırılarda, CVE-2024-40766 güvenlik açığı kullanılarak ağlara sızıldığı ve Akira fidye yazılımının dağıtıldığı açıklandı.
Darktrace tarafından yayınlanan bir raporda, Ağustos 2025 sonunda ABD’deki bir müşteriyi hedef alan bir saldırı tespit edildi. Bu olayda ağ taraması, keşif çalışmaları, yanal hareketler, ayrıcalık yükseltme ve veri sızdırma faaliyetleri gözlemlendi. Ele geçirilen cihazlardan birinin SonicWall VPN sunucusu olduğu belirlendi. Bu durum, saldırının Akira fidye yazılımı kampanyasının bir parçası olduğunu doğruladı.
Uzmanlar, saldırganların çoğu durumda sıfır gün açıkları yerine, daha önce duyurulmuş ve yamaları yayınlanmış güvenlik açıklarını hedef aldığını vurguluyor. Bu nedenle, kurumların yamaları hızla uygulaması, uzaktan erişim yollarını kısıtlaması ve MFA kullanması büyük önem taşıyor.
SonicWall VPN cihazlarını hedef alan bu son saldırılar, şirketlerin altyapı güvenliği ve kimlik yönetimi konusundaki açıklarını yeniden gündeme getirdi. Uzmanlar, özellikle kurumsal ağlarda SSL VPN erişimlerinin sürekli izlenmesini, güvenlik duvarı yapılandırmalarının düzenli olarak gözden geçirilmesini ve olağan dışı oturum aktivitelerinin hızla tespit edilmesini kritik bir önlem olarak değerlendiriyor.
Saldırılarla ilgili teknik analizler devam ederken, güvenlik topluluğu bu kampanyanın daha fazla kurumu etkileyebileceği uyarısında bulunuyor. Bu nedenle, özellikle SonicWall altyapısı kullanan şirketlerin güvenlik kontrollerini ivedilikle güçlendirmesi tavsiye ediliyor.
