CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), SonicWall Secure Mobile Access (SMA) 100 serisinde ve kullanım ömrü sona ermiş ürün yazılımına sahip Secure Remote Access (SRA) ürünlerinde bulunan “bilinen, önceden yama uygulanmış bir güvenlik açığını” hedef alan tehdit aktörleri konusunda yeni bir uyarı yaptı.
Yapılan uyarıda, saldırganların bu güvenlik açığını fidye yazılım saldırısı yapmak için kullanabileceği belirtildi.
Söz konusu uyarı, SonicWall’ın bir “acil güvenlik uyarısı” yayınlamasından ve müşterileri “fidye yazılımı saldırısı riski” konusunda uyarmak için e-postalar göndermesinden sonra geldi.
ABD federal kurumunun da eklediği gibi, saldırganlar bu güvenlik açığından hedefli bir fidye yazılımı saldırısının bir parçası olarak yararlanabilir.
Bu uyarı, SonicWall’ın bir “acil güvenlik uyarısı” yayınlamasından ve müşterileri “yaklaşan bir hedefli fidye yazılımı saldırısı riski” konusunda uyarmak için e-postalar göndermesinden sonra gelir.
Şirket, fidye yazılımı saldırısı riskinin oldukça yakın olduğunu söyledi. Buna ek olarak, Coveware CEO’su Bill Siegel da CISA’nın uyarısını doğrulayarak, saldırganların ilgili açıktan faydalanabilecekleri sistemleri araştırdığını belirtti.
CISA, kullanıcıları ve yöneticileri SonicWall’un güvenlik bildirimini gözden geçirmeye, cihazlarını en son yayınlanan sürüme yükseltmeye veya kullanım ömrü sona ermiş tüm cihazların bağlantısını hemen kesmeye çağırıyor.
HelloKitty fidye yazılımı: Bu saldırıların arkasındaki gruplardan biri
CISA ve SonicWall, bu saldırıların arkasındaki saldırganlarının kimliğini açıklamadı. Ancak siber güvenlik sektöründeki önemli kaynakların belirttiğini göre HelloKitty isimli grup bir süredir söz konusu açıktan faydalanarak fidye yazılım saldırıları gerçekleştirmeye çalışıyor.
Siber güvenlik firması CrowdStrike ise devam eden saldırıların HelloKitty dahil olmak üzere birden fazla tehdit aktörüne atfedildiğini doğruladı.
HelloKity, Kasım 2020’den beri aktif olan, çoğunlukla CD Projekt Red sistemlerini şifrelemesiyle ve Cyberpunk 2077, Witcher 3, Gwent ve diğer oyunların kaynak kodunu çaldığını iddia etmesiyle bilinen bir fidye yazılımı operasyonudur.
CrowdStrike güvenlik araştırmacısı Heather Smith, hedeflenen güvenlik açığının CVE-2019-7481 olarak kodlandığını belirtti.
SonicWall e-postayla gönderdiği bir açıklamada, “Bu kötüye kullanım girişimleri, 2021’in başlarında yamalanan ve uzun zamandır bilinen bir güvenlik açığını hedefliyor.” Dedi.
Bununla birlikte, CrowdStrike’tan Heather Smith ve Hanno Heinrichs geçen ay yayınlanan bir raporda, “CrowdStrike olay müdahale ekipleri, Güvenli Uzaktan Erişim (SRA) 4600 cihazlarını etkileyen daha eski bir SonicWall VPN güvenlik açığı CVE-2019-7481’den yararlanan eSuç aktörlerini belirledi” dedi.
Bir Coveware raporuna göre, Babuk isimli başka bir fidye yazılımı da muhtemelen CVE-2020-5135 istismarlarına karşı savunmasız olan SonicWall VPN’lerini hedef alıyor. Bu güvenlik açığı Ekim 2020’de düzeltildi, ancak Coveware’e göre bugün hala “fidye yazılımı grupları tarafından ağır bir şekilde kötüye kullanılıyor”.
Fidye yazılımı vs SonicWall cihazları
Mandiant tarafından UNC2447 olarak kodlanan bir tehdit grubu, FiveHands (tıpkı HelloKitty olarak bir DeathRansom çeşidi) olarak bilinen yeni bir fidye yazılımı türünü dağıtmak için SonicWall SMA 100 Serisi VPN cihazlarındaki CVE-2021-20016 sıfır gün hatasını kullanmıştı.
SonicWall, Şubat 2021’in sonlarında söz konusu açığı yamalamadan önce, Kuzey Amerika ve Avrupa’da birden fazla hedef saldırıya uğradı. Aynı sıfır gün, Ocak ayında SonicWall’ın dahili sistemlerini hedef alan saldırılarda da kötüye kullanıldı.
Tehdit analistleri, Mart ayında SonicWall’ın şirket içi ve barındırılan E-posta Güvenliği (ES) ürünlerinde üç sıfır gün güvenlik açığı daha keşfetti.
Bu üç sıfır gün aynı zamanda web kabuklarını kullanan arka kapı sistemlerine kadar aktif olarak istismar edildi ve kurbanların ağları arasında yanal olarak hareket etmelerine, e-postalara ve dosyalara erişmelerine olanak sağladı.
Mandiant araştırmacıları, “Saldırganlar, bir arka kapı yüklemek, dosyalara ve e-postalara erişmek ve kurbanın sisteminde yanal olarak hareket edebilmek için SonicWall uygulamasındaki bilgilerle bu güvenlik açıklarından yararlandı.” Dedi.
Kaynak: bleepingcomputer.com
Diğer Haberler
Kritik Cloudflare Zafiyeti Tüm Sitelerin %12’sini Etkiledi
Microsoft Defender for Identity Artık PrintNightmare’i Tespit Edebiliyor
Valve, Steam Deck Oyun Konsolunu Duyurdu