SonicWall heeft gewaarschuwd voor actieve exploitatie van twee zero-day-kwetsbaarheden die van invloed zijn op apparaten uit de Secure Mobile Access (SMA) 1000-serie, waarvan er één zou kunnen worden misbruikt om willekeurige opdrachtuitvoering te bewerkstelligen.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2026-15409 (CVSS-score: 10,0) – Een SSRF-kwetsbaarheid (Server-side Request Forgery) die een niet-geauthenticeerde aanvaller op afstand kan misbruiken om ervoor te zorgen dat het apparaat verzoeken naar een onbedoelde locatie doet.
- CVE-2026-15410 (CVSS-score: 7,2) – Een kwetsbaarheid na authenticatiecode-injectie, geworteld in de Appliance Management Console (AMC), die een op afstand geverifieerde aanvaller kan misbruiken om onder bepaalde omstandigheden als beheerder willekeurige besturingssysteemopdrachten uit te voeren.
SonicWall zei dat het “meerdere gevallen heeft onderzocht die wijzen op actieve exploitatie van de kwetsbaarheden”, waarbij het klanten aanspoort de oplossingen zo snel mogelijk toe te passen. De patches zijn beschikbaar in de volgende versies:
- 12.4.3-03453 (platform-hotfix) en hogere versies
- 12.5.0-02835 (platform-hotfix) en hogere versies
Gebruikers worden ook dringend verzocht een grondige forensische analyse van het systeem uit te voeren om de aanwezigheid van eventuele indicatoren van compromissen (IoC’s) die verband houden met uitbuiting vast te stellen –
- Als in extraweb_access.log verzoeken worden vermeld voor /__api__/login of /__api__/logout met http 200-status
- Als in extraweb_access.log verzoeken worden vermeld aan /wsproxy met verdachte hostparameters met 101 http-status
- Als in ctrl-service.log hotfix-rollbacks worden vermeld met padnamen
- Als /var/lib/unit/conf.json routes bevat voor /__api__/login of /__api__/logout (deze URI’s bestaan niet in legitieme configuratie)
Als een van deze indicatoren aanwezig is, wordt geadviseerd om fysieke apparaten opnieuw te imagen of virtuele apparaten opnieuw te implementeren, gebruikers- en beheerderswachtwoorden te wijzigen en op tijd gebaseerde eenmalige wachtwoordtokens opnieuw in te stellen.
Adam Babis van SonicWall’s product security incident response team (PSIRT) wordt gecrediteerd voor het ontdekken en rapporteren van de fouten. SonicWall erkende ook de bijdragen van Sean Koessel en Steven Adair van Volexity om het interne onderzoek vooruit te helpen en een extra IoC te identificeren.
De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om de twee fouten toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de oplossingen vóór 17 juli 2026 moeten toepassen.