SonicWall warns of SMA1000 flaws exploited in zero-day attacks, patch now
Mis à jour :
Alerte de sécurité : Exploitation active des failles critiques dans les produits SonicWall SMA1000
SonicWall a émis une alerte concernant deux vulnérabilités critiques affectant les appliances SMA1000, actuellement exploitées dans le cadre d’attaques “zero-day”. Ces failles ont été intégrées au catalogue des vulnérabilités exploitées (KEV) de la CISA.
Points clés :
- Produits affectés : Modèles SMA1000 (6210, 7210, 8200v) utilisant certaines versions spécifiques des hotfixes 12.4.3 et 12.5.0.
- Statut : Exploitation active confirmée. Aucune mesure de contournement n’est disponible ; seule l’application du correctif est efficace.
- Portée : Les pare-feux SonicWall et la gamme SMA 100 ne sont pas concernés.
Vulnérabilités :
- CVE-2026-15409 (Score CVSS 10.0) : Faille de falsification de requête côté serveur (SSRF) dans l’interface “Work Place”. Elle permet à un attaquant distant non authentifié de forcer l’appliance à effectuer des requêtes vers des destinations non autorisées.
- CVE-2026-15410 (Score CVSS 7.2) : Faille d’injection de code après authentification dans la console d’administration, permettant à un administrateur authentifié d’exécuter des commandes arbitraires sur le système d’exploitation.
Recommandations :
- Mise à jour immédiate : Installer les correctifs (hotfixes) versions 12.4.3-03453, 12.5.0-02835 ou ultérieures.
- Recherche de compromission (IOC) : Analyser les journaux (
extraweb_access.log,ctrl-service.log) et le fichierconf.jsonpour détecter des requêtes anormales (vers/__api__/login,/wsproxy) ou des traces de “path traversal”. - Réponse aux incidents : Si une compromission est détectée, il est impératif de réinstaller complètement les systèmes (ré-imager les appliances physiques ou redéployer les virtuelles), de réinitialiser tous les mots de passe (utilisateurs et administrateurs) ainsi que les jetons TOTP.
