SonicWall warns of SMA1000 flaws exploited in zero-day attacks, patch now

1 minute de lecture

Mis à jour :

Alerte de sécurité : Exploitation active des failles critiques dans les produits SonicWall SMA1000

SonicWall a émis une alerte concernant deux vulnérabilités critiques affectant les appliances SMA1000, actuellement exploitées dans le cadre d’attaques “zero-day”. Ces failles ont été intégrées au catalogue des vulnérabilités exploitées (KEV) de la CISA.

Points clés :

  • Produits affectés : Modèles SMA1000 (6210, 7210, 8200v) utilisant certaines versions spécifiques des hotfixes 12.4.3 et 12.5.0.
  • Statut : Exploitation active confirmée. Aucune mesure de contournement n’est disponible ; seule l’application du correctif est efficace.
  • Portée : Les pare-feux SonicWall et la gamme SMA 100 ne sont pas concernés.

Vulnérabilités :

  • CVE-2026-15409 (Score CVSS 10.0) : Faille de falsification de requête côté serveur (SSRF) dans l’interface “Work Place”. Elle permet à un attaquant distant non authentifié de forcer l’appliance à effectuer des requêtes vers des destinations non autorisées.
  • CVE-2026-15410 (Score CVSS 7.2) : Faille d’injection de code après authentification dans la console d’administration, permettant à un administrateur authentifié d’exécuter des commandes arbitraires sur le système d’exploitation.

Recommandations :

  • Mise à jour immédiate : Installer les correctifs (hotfixes) versions 12.4.3-03453, 12.5.0-02835 ou ultérieures.
  • Recherche de compromission (IOC) : Analyser les journaux (extraweb_access.log, ctrl-service.log) et le fichier conf.json pour détecter des requêtes anormales (vers /__api__/login, /wsproxy) ou des traces de “path traversal”.
  • Réponse aux incidents : Si une compromission est détectée, il est impératif de réinstaller complètement les systèmes (ré-imager les appliances physiques ou redéployer les virtuelles), de réinitialiser tous les mots de passe (utilisateurs et administrateurs) ainsi que les jetons TOTP.

Source