Tehdit aktörleri, SonicWall Gen6 SSL-VPN cihazlarında çok faktörlü kimlik doğrulamayı atlatarak ağlara sızdı ve fidye yazılımı saldırılarında kullanılan araçları dağıtmaya çalıştı. Saldırganlar kaba kuvvet yöntemiyle elde ettikleri VPN kimlik bilgilerini kullanarak oturum açtıktan sonra 30 ila 60 dakika içinde ağ keşfi yapıp iç sistemlerde kimlik bilgilerinin tekrar kullanımını test ederek çıkış yaptı. SonicWall, CVE-2024-12802 güvenlik açığı için yayınladığı uyarıda, ürün yazılımı güncellemesinin tek başına yeterli olmadığını ve LDAP sunucusunda manuel yeniden yapılandırma yapılması gerektiğini duyurdu. Bu SonicWall VPN zafiyeti, özellikle Gen6 cihazlarda tam olarak kapatılamadığında saldırganlara MFA korumasını devre dışı bırakma fırsatı sunuyor.

ReliaQuest Araştırmacıları Şubat ve Mart Ayları Arasında Birden Çok İhlal Tespit Etti

ReliaQuest siber güvenlik şirketindeki araştırmacılar, Şubat ile Mart ayları arasında birden fazla ortamda gerçekleşen izinsiz girişlere müdahale etti. Ekip, bu olayları “CVE-2024-12802’nin vahşi doğada ilk kez kullanıldığı vakalar” olarak orta düzeyde bir güvenle değerlendirdi. Bu çok faktörlü kimlik doğrulama atlatma tekniği sayesinde saldırganlar, ikinci doğrulama adımını tetiklemeden sisteme giriş yapabildi. Araştırmacılar inceledikleri ortamlarda cihazların güncel ürün yazılımını çalıştırdığı için yamalı göründüğünü ancak gerekli düzeltme adımlarının tamamlanmaması nedeniyle açığın hâlâ istismar edilebilir durumda olduğunu belirtti. Gen7 ve Gen8 cihazlarda ise sadece daha yeni bir ürün yazılımı sürümüne güncelleme yapmak, bu Gen6 SSL-VPN zafiyetinin riskini tamamen ortadan kaldırmak için yeterli oluyor.

ReliaQuest’in aktardığı bir olayda, bilgisayar korsanı iç ağa eriştikten sonra yalnızca yarım saat içinde bir etki alanına katılmış dosya sunucusuna ulaştı. Saldırgan daha sonra paylaşılan yerel yönetici parolasını kullanarak RDP üzerinden uzaktan bağlantı kurdu. Bu LDAP yapılandırma hatası sayesinde elde ettiği erişimi genişleten tehdit aktörü, komuta ve kontrol iletişimi için Cobalt Strike işaret fişeği ile BYOVD tekniğini kullanarak uç nokta korumasını devre dışı bırakmayı hedefleyen hassas bir sürücü dağıtmaya çalıştı. Ancak kurulu uç nokta algılama ve yanıt çözümü, hem işaret fişeğini hem de sürücünün yüklenmesini engelledi.

Araştırmacılar, saldırganın bilinçli bir şekilde çıkış yapması ve günler sonra bazen farklı hesaplar kullanarak tekrar giriş yapmasından yola çıkarak tehdit aktörünün, ilk erişimi tehdit gruplarına satan bir aracı olduğuna inanıyor. Geçtiğimiz yıl Akira fidye yazılımı çetesi de SonicWall SSL VPN cihazlarını hedef almış ve hesaplarda MFA etkin olmasına rağmen giriş yapmayı başarmıştı ancak kullanılan yöntem o zaman doğrulanamamıştı. UPN giriş formatı sorunu, bu tür saldırıların temelinde yatan teknik zafiyetin en önemli göstergesi olarak öne çıkıyor.

Yöneticilerin CVE-2024-12802 İçin İzlemesi Gereken Kritik Adımlar

CVE-2024-12802 güvenlik açığı, UPN giriş formatı için MFA zorunluluğunun eksik olmasından kaynaklanıyor. Bu zafiyet, geçerli kimlik bilgilerine sahip bir saldırganın doğrudan kimlik doğrulaması yaparak MFA gereksinimini atlamasına olanak tanıyor. Gen6 SonicWall cihazları için satıcının uyarısında detaylandırılan düzeltme adımları şöyle sıralanıyor: Önce mevcut LDAP yapılandırmasının userPrincipalName kullanılarak silinmesi, ardından yerel olarak önbelleğe alınmış LDAP kullanıcılarının kaldırılması gerekiyor. Yöneticiler daha sonra yapılandırılmış SSL VPN “Kullanıcı Etki Alanını” kaldırmalı ve güvenlik duvarını yeniden başlatmalı. Son adımda ise “Nitelikli giriş adı” alanında userPrincipalName olmadan LDAP yapılandırmasını yeniden oluşturmak ve daha sonra güvenlik açığı bulunan LDAP yapılandırmasını geri yüklemekten kaçınmak için yeni bir yedek oluşturmak yer alıyor.

👉️ İlginizi Çekebilir: Amazon Türkiye Pazarı İçin Kritik Bulut Altyapısı Atılımını Gerçekleştirdi

Araştırmacılar, incelenen izinsiz girişlerin arkasındaki tehdit aktörünün, bu güvenlik açığını “birden çok sektör ve coğrafyada” istismar ederek ilk erişimi elde ettiğinden yüksek derecede emin. ReliaQuest’e göre, gözlemlenen olaylardaki sahte giriş denemeleri günlüklerde hâlâ normal bir MFA akışı gibi görünüyordu. Bu durum savunmacıların MFA başarısız olsa bile çalışıyormuş gibi algılamasına yol açtı. Araştırmacılar, bu saldırıların en önemli göstergesinin sess=”CLI” sinyali olduğunu belirtiyor. Bu sinyal, betik veya otomatik VPN kimlik doğrulamasını işaret ediyor. Yöneticilerin bu sinyali izlemesi gerektiğini söyleyen ekip, diğer güçlü sinyallerin ise olay kimlikleri 238 ve 1080 ile şüpheli VPS veya VPN altyapısından gelen VPN girişleri olduğunu ekliyor. Gen6 SSL-VPN cihazlarının bu yıl 16 Nisan itibarıyla ömrünü tamamlaması ve artık güvenlik güncellemesi almaması nedeniyle, genel öneri daha yeni ve aktif olarak desteklenen sürümlere geçiş yapılması yönünde.