Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands

1 minute de lecture

Mis à jour :

Exploitation active de deux vulnérabilités Zero-Day sur SonicWall SMA 1000

SonicWall a confirmé l’exploitation active de deux failles critiques dans ses appliances de la gamme Secure Mobile Access (SMA) 1000. La CISA a intégré ces vulnérabilités à son catalogue KEV, imposant une mise à jour immédiate.

Vulnérabilités identifiées :

  • CVE-2026-15409 (Score CVSS 10.0) : Vulnérabilité de type SSRF (Server-Side Request Forgery) permettant à un attaquant distant non authentifié de forcer l’appliance à effectuer des requêtes vers des destinations non autorisées.
  • CVE-2026-15410 (Score CVSS 7.2) : Vulnérabilité d’injection de code dans la console d’administration (AMC). Un attaquant distant authentifié peut exécuter des commandes système arbitraires avec des privilèges administrateur.

Recommandations :

  • Appliquer les correctifs : Mettre à jour vers les versions 12.4.3-03453 ou 12.5.0-02835 (et supérieures).
  • Audit de compromission : Rechercher des indicateurs suspects dans les logs (extraweb_access.log, ctrl-service.log) ou des anomalies dans le fichier de configuration /var/lib/unit/conf.json (notamment des routes API invalides).
  • Mesures en cas d’intrusion : Si une compromission est détectée, il est impératif de réinstaller les appliances, de réinitialiser tous les mots de passe (utilisateurs et administrateurs) ainsi que les jetons MFA (TOTP).

Source