sonicwall yedekleme açığı yüzünden 74 bankanın işi durmuş

arkadaşlar, bugün bayağı ilginç bir dava haberi var. marquis software solutions diye bir firma, sonicwall’u mahkemeye vermiş. neden mi? sonicwall’un yedekleme ürününde ki açık yüzünden fidye yazılımı yemiş adamlar, sonuçta da 74 tane amerikan bankasının işi durmuş.

olay neymiş tam olarak

marquis, bankalara yazılım çözümleri sunan bir firma. sonicwall’un yedekleme çözümünü kullanıyormuş. derken saldırganlar sonicwall’daki bir açıktan girmiş sisteme, yedekleri çalmış, ardından da fidye yazılımı salmış ortaya. yani klasik “önce yedeği çal, sonra şifrele” taktiği.

spoiler: bu olay 74 bankanın operasyonlarını aksatmış. ciddi bir etki alanı var yani.

marquis ne diyor

dava dilekçesinde marquis şunları iddia ediyor:

• sonicwall ürünlerinde bilinen güvenlik açıkları varmış
• firma bu açıkları düzgün kapatmamış/bildirmemiş
• “enterprise-grade security” diye pazarlamışlar ama içi boşmuş
• gross negligence (ağır ihmal) ve misrepresentation (yanlış beyan) var

yani kısacası “bize güvenli dediler, paramızı aldılar, ama içerde delik kaynıyormuş” diyor marquis.

sonicwall tarafı

sonicwall henüz resmi bir açıklama yapmamış dava hakkında. ama biliyorsunuz, sonicwall’un geçmişte birkaç kritik açığı olmuştu. özellikle sma/sra cihazlarında ve bazı yedekleme ürünlerinde zafiyet çıkmıştı.

edit: sonicwall’un önceki yıllarda birkaç sıfır-gün açığı yaşadığını hatırlatalım. özellikle 2021’de cve-2021-20016 ve 2023’te de birkaç kritik zafiyet vardı.

bu olay bize ne öğretiyor

agalar, bu olay birkaç önemli noktayı gözler önüne seriyor:

1. yedek stratejisi 3-2-1 kuralı olacak

# 3 kopya: orijinal + 2 yedek
# 2 farklı ortam: disk, tape, cloud vs
# 1 tanesi offsite/offline olacak

# offline yedek örneği:
# yedek aldıktan sonra ağdan kopar
umount /mnt/backup
# veya
veeam backup'ı immutable storage'a at

yani arkadaşlar, yedeğiniz de çalınırsa/şifrelenirse, elinizde hiçbir şey kalmaz. mutlaka bir kopyası offline olsun.

2. vendor’a körü körüne güvenmeyin

“enterprise-grade security” lafı yetmez. şunları yapın:

• düzenli zafiyet taraması çalıştırın
• vendor’ın security advisory’lerini takip edin
• critical patch’leri test edip hemen uygulayın
• mümkünse penetration test yaptırın

3. segmentasyon şart

yedekleme sistemleri ayrı bir network segment’inde olmalı:

# örnek firewall kuralı
# sadece backup server'dan backup storage'a izin ver
iptables -A FORWARD -s 10.0.10.0/24 -d 10.0.20.0/24 -p tcp --dport 10000 -j ACCEPT
iptables -A FORWARD -d 10.0.20.0/24 -j DROP

# backup network'ünü production'dan izole et

4. immutable backup kullanın

modern yedekleme çözümlerinde “immutable” yani değiştirilemez yedek özelliği var:

• veeam immutable backup
• aws s3 object lock
• azure immutable blob storage

bu sayede fidye yazılımı yedekleri şifreleyemez.

sonicwall kullanıyorsanız yapmanız gerekenler

şimdi elinizde sonicwall ürünü varsa panik yapmayın ama şunları yapın:

1. güncel mi kontrol edin

# sonicwall cihazında versiyon kontrolü
# web interface > system > status
# en son firmware versiyonunu kontrol edin

# veya cli'dan:
show version

2. security advisory’leri takip edin

• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0001 gibi sayfalara göz atın
• rss feed’e abone olun
• email alertleri aktif edin

3. log’ları inceleyin

# anormal giriş denemeleri var mı
# yetkisiz erişim var mı
# backup job'larında anomali var mı

# sonicwall log export:
# log > syslog veya log > view'dan inceleyin

4. access control’ü gözden geçirin

• backup sistemine kimler erişebiliyor?
• mfa aktif mi?
• default password’ler değiştirilmiş mi?
• gereksiz servisler kapalı mı?

geçici çözüm önerileri

eğer hemen değişiklik yapamıyorsanız:

1. network izolasyonu: backup network’ünü production’dan ayırın
2. monitoring: siem’e log gönderin, anomali detection aktif edin
3. offline backup: günlük bir kopyayı mutlaka offline alın
4. incident response plan: saldırı olursa ne yapacağınızı planlayın

sonuç

agalar, bu dava henüz başlangıç aşamasında. sonicwall’un savunması ve mahkeme kararını göreceğiz. ama olay bize şunu gösteriyor: vendor’a güvenmek güzel ama “trust but verify” prensibiyle hareket edin.

dikkat: eğer sonicwall yedekleme ürünü kullanıyorsanız, hemen vendor’la iletişime geçin ve durumu netleştirin. aktif bir zafiyet var mı, patch var mı öğrenin.

yedeklerinizi kontrol edin, offline kopyalarınızı alın, test edin. çünkü fidye yazılımı geldiğinde “keşke yapsaydık” demenin faydası yok.

kaynaklar

• orijinal haber: https://www.bleepingcomputer.com/news/security/marquis-sues-sonicwall-over-backup-breach-that-led-to-ransomware-attack/
• sonicwall psirt: https://psirt.global.sonicwall.com/
• 3-2-1 backup stratejisi: https://www.veeam.com/blog/321-backup-rule.html

Bu içerik yapay zeka tarafından oluşturulmuştur.