Siber güvenlik araştırmacıları, ekim ayının başından bu yana SonicWall SSLVPN sunucularına yönelik saldırılarda belirgin bir artış tespit etti. Huntress tarafından yayımlanan rapora göre saldırılar, sistemlere kısa sürede erişim sağlandığını gösteriyor. Uzmanlar, saldırganların geçerli kullanıcı bilgilerine sahip olabileceğini değerlendiriyor.
Yedekleme Olayı Saldırıların Temelini Oluşturuyor
SonicWall kısa süre önce güvenlik duvarı yapılandırma dosyalarının yedeklenmesi sırasında ortaya çıkan bir veri sızıntısını doğruladı. Şirket, 17 Eylül 2025 tarihinde “MySonicWall Cloud Backup File Incident” başlıklı destek makalesiyle olayı kamuoyuna duyurdu. İnternet üzerinden yetkisiz kişilerin yedek dosyalara erişebildiği ortaya çıktı.
Sonradan yapılan incelemelerde, MySonicWall Cloud Backup hizmetini kullanan tüm müşterilerin bu olaydan etkilendiği açıklandı. Ayrıca Akira fidye yazılımı grubunun SonicWall VPN hesaplarını çok faktörlü kimlik doğrulamasını atlayarak ele geçirebildiği belirlendi. Bu gelişmeler, saldırganların erişim verilerini yedek dosyalardan elde etmiş olabileceği ihtimalini güçlendiriyor.
Huntress tarafından yapılan analizde saldırıların 4-10 Ekim 2025 tarihleri arasında sürdüğü bildirildi. Şirket, farklı cihazlardan hızlı şekilde yapılan kimlik doğrulama girişimleri nedeniyle saldırıların kaba kuvvet yöntemiyle değil, geçerli hesap bilgileriyle gerçekleştirildiğini belirtti.
Widespread SonicWall SSLVPN Compromises Detected
Starting 10/4, and as recently as 10/10, Huntress observed a surge in SonicWall SSLVPN compromises. Threat actors are rapidly authenticating across devices—suggesting valid cred. use, not brute force.
— Huntress (@HuntressLabs) October 10, 2025
10 Ekim itibarıyla en az 100 SSLVPN hesabının ele geçirildiği, 16 kuruluşun bu saldırılardan doğrudan etkilendiği açıklandı. Bazı sistemlerde pasif erişimler saptanırken bazı durumlarda Windows hesaplarına yetkisiz erişim girişimleri gözlendi.
Huntress, SonicWall yöneticilerinin acil olarak uygulaması gereken bir dizi güvenlik adımı paylaştı. Öneriler arasında uzak erişimin engellenmesi, SSLVPN ve HTTP/S bağlantılarının geçici olarak devre dışı bırakılması, tüm giriş bilgilerinin sıfırlanması ve otomasyon anahtarlarının iptali yer alıyor. Ayrıca DNS ve SMTP giriş bilgilerinin de yenilenmesi gerektiği vurgulanıyor.
If you use SonicWall, here’s what to do now:
• Lock down WAN/remote access
• Disable SSLVPN, HTTP/S, SSH until creds reset
• Reset ALL creds + secrets
• Revoke automation keys, DNS, SMTP creds
• Enforce MFA everywhere pic.twitter.com/OqbYkVyVQy— Huntress (@HuntressLabs) October 10, 2025
Uzmanlar, çok faktörlü kimlik doğrulamasının tüm hesaplarda zorunlu hale getirilmesini öneriyor. Günlük kayıtlarının da olağan dışı etkinlikler açısından incelenmesi gerektiği belirtiliyor.
Olayın ardından bir siber güvenlik uzmanı, SonicWall sistemlerinde otomatik yedekleme davranışlarına dair dikkat çekici bir gözlem paylaştı. Uzman, birçok müşterinin yedekleme özelliğini etkinleştirmemesine rağmen, MySonicWall portalında farklı cihazlar için bulut yedeklerinin otomatik olarak oluşturulduğunu tespit etti.
Tüm yedeklerin aynı tarihte oluşturulmuş olması, bazı kullanıcıların sistemlerinin merkezi bir işlemle yedeklenmiş olabileceği şüphesini doğurdu. Uzmanlar, olayın kapsamı ve teknik detayları hakkında SonicWall tarafından yapılan açıklamaların henüz tüm yönleriyle netlik kazanmadığını ifade ediyor.
