Siber güvenlik şirketi Rapid7, SonicWall cihazlarında Temmuz 2025 sonundan itibaren artan ihlal faaliyetlerini raporladı. Bu artış, Akira fidye yazılımı grubunun yenilenen saldırı kampanyalarıyla paralel ilerliyor.
Yıllık SSL VPN Güvenlik Açığı ve Yanlış Yapılandırmalar
SonicWall, CVE-2024-40766 kodlu ve 9.3 CVSS puanına sahip SSL VPN açığının, yerel kullanıcı şifrelerinin taşındığı ve sıfırlanmadığı bir yıllık bir zafiyet olduğunu duyurdu. Şirket, özellikle kaba kuvvet saldırılarına karşı Botnet Filtreleme ve Hesap Kilitleme politikalarının etkinleştirilmesini öneriyor.
LDAP SSL VPN Varsayılan Kullanıcı Gruplarının yanlış yapılandırılması, Akira saldırılarında kritik bir zayıflık olarak öne çıkıyor. Bu ayar, kimlik doğrulaması başarılı olan her LDAP kullanıcısını, gerçek Active Directory üyeliğine bakılmaksızın önceden tanımlanmış yerel gruplara ekliyor. Eğer bu gruplar hassas kaynaklara erişim sağlıyorsa, ele geçirilmiş AD hesapları doğrudan ağ içi kritik servislere erişim kazanabiliyor.
Sanallaştırılmış Ofis Portalı ve MFA Riskleri
Rapid7, SonicWall Sanal Ofis Portalının bazı varsayılan yapılandırmalarda genel erişime açık olduğunu ve saldırganların önceden ele geçirilmiş hesaplarla çok faktörlü kimlik doğrulama (MFA/TOTP) yapılandırmasını atlatabileceğini belirtti. Akira grubu, bu üç güvenlik açığını kombine ederek yetkisiz erişim sağlıyor ve fidye yazılımı operasyonlarını sürdürüyor.
Akira’nın Saldırı Teknikleri ve Endüstri Etkisi
Akira, gelişmiş oltalama ve çok platformlu fidye yazılımı dağıtımlarıyla imalat ve ulaşım sektörlerini hedefliyor. Son saldırılar, SEO zehirlenmesi yoluyla Bumblebee kötü amaçlı yazılım yükleyicisini dağıtıyor; ardından AdaptixC2 post-eksploitasyon aracı ve RustDesk uzaktan erişim aracı devreye giriyor. AdaptixC2’nin modüler ve açık kaynak yapısı, saldırganlara sistemlerde esnek komut yürütme ve veri sızdırma imkanı tanıyor.
Rapid7, Akira saldırı zincirinin SSL VPN üzerinden ilk erişim sağlama, ayrıcalık yükseltme, hassas dosya hırsızlığı, yedekleri silme ve hipervizör seviyesinde şifreleme adımlarını içerdiğini vurguluyor.
Önerilen Güvenlik Önlemleri
Uzmanlar, SonicWall yerel hesap şifrelerinin değiştirilmesini, kullanılmayan hesapların kaldırılmasını, MFA/TOTP politikalarının uygulanmasını ve Sanal Ofis Portalı erişiminin iç ağ ile sınırlandırılmasını tavsiye ediyor. Ayrıca Avustralya Siber Güvenlik Merkezi (ACSC) de Akira’nın bu cihazları hedef aldığını doğruladı.