Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands
Mis à jour :
Exploitation active de deux vulnérabilités Zero-Day sur SonicWall SMA 1000
SonicWall a confirmé l’exploitation active de deux failles critiques dans ses appliances de la gamme Secure Mobile Access (SMA) 1000. La CISA a intégré ces vulnérabilités à son catalogue KEV, imposant une mise à jour immédiate.
Vulnérabilités identifiées :
- CVE-2026-15409 (Score CVSS 10.0) : Vulnérabilité de type SSRF (Server-Side Request Forgery) permettant à un attaquant distant non authentifié de forcer l’appliance à effectuer des requêtes vers des destinations non autorisées.
- CVE-2026-15410 (Score CVSS 7.2) : Vulnérabilité d’injection de code dans la console d’administration (AMC). Un attaquant distant authentifié peut exécuter des commandes système arbitraires avec des privilèges administrateur.
Recommandations :
- Appliquer les correctifs : Mettre à jour vers les versions 12.4.3-03453 ou 12.5.0-02835 (et supérieures).
- Audit de compromission : Rechercher des indicateurs suspects dans les logs (
extraweb_access.log,ctrl-service.log) ou des anomalies dans le fichier de configuration/var/lib/unit/conf.json(notamment des routes API invalides). - Mesures en cas d’intrusion : Si une compromission est détectée, il est impératif de réinstaller les appliances, de réinitialiser tous les mots de passe (utilisateurs et administrateurs) ainsi que les jetons MFA (TOTP).
