SonicWall, VPN Cihazlarında Aktif Olarak İstismar Edilen Açık İçin Kullanıcıları Uyardı

Siber güvenlik şirketi SonicWall, Secure Mobile Access (SMA) cihazlarını etkileyen ve birinin aktif olarak saldırılarda kullanıldığı üç güvenlik açığına karşı kullanıcılarını uyardı. Şirket, bu açıkların giderilmesi için cihaz yazılımının güncellenmesini şiddetle tavsiye etti.

Üç Kritik Açık Zincirlenerek Tam Yetki Sağlanabiliyor

Siber güvenlik araştırmacısı Ryan Emmons tarafından tespit edilen ve Rapid7 tarafından raporlanan açıklar, CVE-2025-32819, CVE-2025-32820 ve CVE-2025-32821 olarak kayıtlara geçti. Bu açıklar birleştirildiğinde, saldırganların uzaktan root yetkisiyle komut çalıştırmasına imkân tanıyor. Zafiyetlerden etkilenen modeller:

• SMA 200
• SMA 210
• SMA 400
• SMA 410
• SMA 500v

Bu cihazlar için 10.2.1.15-81sv ve üzeri firmware sürümünde yamalar sunulmuş durumda.

Özellikle CVE-2025-32819 açığı, saldırganlara cihazın ana veritabanını silme, varsayılan yönetici şifresini sıfırlama ve web arayüzüne yönetici olarak erişme imkânı tanıyor. Devamında gelen CVE-2025-32820 açık yoluyla sistem klasörleri yazılabilir hâle getirilebiliyor. Son adımda ise CVE-2025-32821 açığı kullanılarak root seviyesinde kod çalıştırma mümkün oluyor.

Rapid7’nin açıklamasına göre:

“Bir SSLVPN kullanıcısı bu açıkları zincirleyerek sistem klasörlerine yazma yetkisi kazanabilir, yönetici seviyesine yükselerek zararlı dosyalar yükleyebilir. Bu süreç sonunda tam sistem denetimi sağlanabilir.”

Şirket, özel olarak elde edilen göstergelere ve olay müdahale çalışmalarına dayanarak bu açıkların gerçek saldırılarda kullanıldığına dair bulgular bulunduğunu da belirtti. SonicWall, kullanıcıların cihazlarında yetkisiz girişleri tespit etmek amacıyla log (kayıt) dosyalarını kontrol etmelerini ve aşağıdaki önlemleri almalarını önerdi:

• Web uygulama güvenlik duvarını (WAF) etkinleştirme
• Çok faktörlü kimlik doğrulama (MFA) kullanma

Geçtiğimiz hafta SonicWall, CVE-2023-44221 ve CVE-2024-38475 numaralı iki güvenlik açığının da saldırganlar tarafından aktif olarak kullanıldığını duyurmuştu. Bu açıklar, uzaktan komut çalıştırma ve komut enjekte etme riskleri taşıyor.

Ayrıca nisan ayında, Arctic Wolf’un açıklamasına göre CVE-2021-20035 adlı başka bir yüksek öneme sahip açık da Ocak 2025’ten bu yana aktif olarak istismar ediliyor. Şubat ayında ise SonicWall, Gen 6 ve Gen 7 güvenlik duvarlarında yer alan kimlik doğrulama atlatma açığının VPN oturumlarının ele geçirilmesine yol açtığını duyurmuştu.