Siber güvenlik araştırmacıları SonicWall SSL VPN cihazlarını hedef alan geniş çaplı bir siber saldırı kampanyası tespit etti. Olayın 16 farklı müşteri hesabında 100’den fazla VPN kullanıcısını etkilediği bildirildi.
Kimlik bilgileri ele geçirilmiş olabilir
Huntress tarafından paylaşılan bilgilere göre saldırganlar SonicWall VPN cihazları üzerinden çok sayıda hesaba hızlı bir şekilde giriş yaptı. Bu durumun kaba kuvvet saldırısından ziyade geçerli kimlik bilgilerinin ele geçirilerek kullanıldığına işaret ettiği belirtildi.
Faaliyetlerin büyük bir kısmı 4 Ekim 2025 tarihinde başladı. Saldırılarda kullanılan oturum açma girişimlerinin 202.155.8[.]73 IP adresinden geldiği tespit edildi. Huntress’ın incelediği vakalarda saldırganların bazı durumlarda kısa süreli bağlantılar kurarak ağdan ayrıldığı bazı durumlarda ise yerel Windows hesaplarına erişmeye çalıştığı ve ağ taraması gerçekleştirdiği bildirildi.
Bu gelişme SonicWall’ın kısa süre önce yaşanan başka bir güvenlik olayı hakkında yaptığı açıklamanın hemen ardından geldi. Şirket MySonicWall hesaplarında depolanan güvenlik duvarı yapılandırma dosyalarının yetkisiz kişiler tarafından görüntülendiğini doğrulamıştı.
Güvenlik uzmanı Arctic Wolf yapılandırma dosyalarının kullanıcı, grup ve etki alanı ayarları, DNS ve log yapılandırmaları ile sertifikalar gibi kritik bilgileri içerdiğini belirtti. Bu verilerin kötü niyetli kişiler tarafından ağlara yetkisiz erişim sağlamak için kullanılabileceği açıklandı.
Huntress mevcut aşamada bu veri ihlali ile VPN saldırıları arasında doğrudan bir bağlantı bulunmadığını bildirdi. Ancak riskin yüksek olduğu ve gerekli önlemlerin alınması gerektiği vurgulandı.
Uzmanlar MySonicWall bulut yedekleme hizmetini kullanan kurumların cihaz şifrelerini ve kimlik bilgilerini acilen yenilemesini öneriyor. Ayrıca WAN yönetimi ve uzaktan erişimin sınırlandırılması, güvenlik duvarına erişen tüm harici API anahtarlarının iptal edilmesi, oturum açma hareketlerinin dikkatle izlenmesi ve yönetici hesaplarında çok faktörlü kimlik doğrulamanın (MFA) zorunlu hale getirilmesi tavsiye edildi.
Saldırıların SonicWall cihazlarını hedef alan fidye yazılımı kampanyalarındaki artışla aynı döneme denk geldiği bildirildi. Bu saldırılarda CVE-2024-40766 güvenlik açığı kullanılarak ağlara sızıldığı ve Akira ransomware zararlısının dağıtıldığı açıklandı.
Darktrace tarafından yayımlanan bir raporda Ağustos 2025 sonunda ABD’deki bir müşteriyi hedef alan saldırı tespit edildi. Bu olayda ağ taraması, keşif çalışmaları, yanal hareketler, ayrıcalık yükseltme ve veri sızdırma faaliyetleri gözlemlendi. Kompromize edilen cihazlardan birinin SonicWall VPN sunucusu olduğu belirlendi. Bu durum saldırının Akira fidye yazılımı kampanyasının bir parçası olduğunu doğruladı.
Uzmanlar saldırganların çoğu durumda sıfır gün açıkları yerine daha önce duyurulmuş ve yamaları yayınlanmış güvenlik açıklarını hedef aldığını vurguluyor. Bu nedenle kurumların yamaları hızla uygulaması, uzaktan erişim yollarını kısıtlaması ve MFA kullanması büyük önem taşıyor.
SonicWall VPN cihazlarını hedef alan bu son saldırılar şirketlerin altyapı güvenliği ve kimlik yönetimi konusundaki açıklarını yeniden gündeme taşıdı. Uzmanlar özellikle kurumsal ağlarda SSL VPN erişimlerinin sürekli izlenmesini, güvenlik duvarı yapılandırmalarının düzenli olarak gözden geçirilmesini ve olağan dışı oturum aktivitelerinin hızla tespit edilmesini kritik bir önlem olarak değerlendiriyor.
Saldırılarla ilgili teknik analizler sürerken güvenlik topluluğu bu kampanyanın daha fazla kurumu etkileyebileceği uyarısında bulunuyor. Bu nedenle özellikle SonicWall altyapısı kullanan şirketlerin hızlı şekilde güvenlik kontrollerini güçlendirmesi öneriliyor.
