Siber güvenlik araştırmacıları, tehdit aktörlerinin çalınmış kimlik bilgilerini kullanarak yüzün üzerinde SonicWall SSLVPN hesabını ele geçirdiğini ortaya koydu. Geniş çaplı olarak yürütülen saldırı kampanyasının halen sürdüğü bildirildi.
Saldırganlar Geçerli Kimlik Bilgilerini Kullanarak Ağa Sızdı
Siber güvenlik platformu Huntress, saldırganların 4 Ekim itibarıyla birçok farklı kurumsal ortamda aynı anda etkinleştiğini açıkladı. Araştırmacılar, tehdit aktörlerinin çok sayıda hesaba kısa sürede erişim sağladığını ve bu hızın kaba kuvvet saldırılarından değil, çalınmış geçerli kimlik bilgilerinden kaynaklandığını belirtti.
Şirketin tespitlerine göre saldırılar en az 16 farklı kurumsal ağı etkiledi. Saldırıların büyük çoğunluğunun 202.155.8[.]73 IP adresinden başlatıldığı gözlemlendi. Bazı saldırılarda tehdit aktörleri kısa süreli bağlantı kurarken, bazı durumlarda ağ taraması yaparak yerel Windows hesaplarına erişmeye çalıştı.
Huntress, saldırıların yakın zamanda yaşanan SonicWall ihlaliyle doğrudan bağlantısının bulunmadığını açıkladı. Şirketin ifadesine göre, söz konusu ihlalde yalnızca bulut yedekleme müşterilerinin güvenlik duvarı yapılandırma dosyaları sızdırıldı. SonicWall, bu dosyaların AES-256 algoritmasıyla şifrelenmiş biçimde saklandığını belirtti. Yani bir saldırgan bu dosyaları ele geçirse bile içlerindeki kimlik bilgilerini açık şekilde görüntüleyemiyor.
SonicWall, sistem yöneticilerinin güvenliği sağlamak için tüm yerel kullanıcı parolalarını ve geçici erişim kodlarını sıfırlaması gerektiğini bildirdi. Ayrıca LDAP, RADIUS, TACACS+ gibi sunuculardaki parolaların güncellenmesi, IPSec ve VPN politikalarındaki gizli anahtarların yenilenmesi tavsiye edildi.
Huntress, yöneticilere geniş alan ağı yönetimi ve uzaktan erişim seçeneklerini yalnızca ihtiyaç duyulduğunda etkinleştirmelerini önerdi. HTTP, HTTPS, SSH ve SSLVPN erişimlerinin geçici olarak devre dışı bırakılması, otomasyon sistemlerinde kullanılan API anahtarlarının iptali ve çok faktörlü kimlik doğrulamanın zorunlu hale getirilmesi gerektiği vurgulandı.
