Nota per a Eric: traducció tècnica correcta, es recomana repàs natiu abans de publicar.

El 14 de juliol de 2026, SonicWall va publicar un avís de seguretat de màxima urgència confirmant que dos vulnerabilitats zero-day a la sèrie SMA1000 estan sent explotades activament en múltiples incidents reals. Hores abans, l’equip MDR de Rapid7 havia observat atacs dirigits contra appliances SMA1000 accessibles des d’internet, abans que SonicWall publiqués la divulgació oficial. La CISA va afegir tots dos CVEs al catàleg KEV i, sota la Directiva Operativa Vinculant BOD 26-04, ha donat termini fins a demà 17 de juliol de 2026 per a les agències federals dels EUA. No existeix cap workaround: nomes el pedac tanca el forat.

Què se sap dels zero-days CVE-2026-15409 i CVE-2026-15410 a SonicWall SMA1000?

  • CVE-2026-15409 (CVSS 10.0) — SSRF sense autenticació: un atacant remot sense credencials pot forçar l’appliance a obrir un túnel WebSocket cap a serveis interns de localhost, permetent arribar a la Consola de Gestió (AMC) sense cap credencial.
  • CVE-2026-15410 (CVSS 7.2) — Injeccio de codi post-autenticació: permet executar comandes arbitràries del sistema operatiu com a administrador. Combinat amb CVE-2026-15409, l’autenticació queda eludida.
  • La cadena d’atac: tots dos CVEs s’usen en tàndem. Resultat: execució de comandes del SO com a root, sense credencials, des d’internet.
  • Models afectats: SMA 6210, SMA 7210 i SMA 8200v. No afectats: SSL VPN dels firewalls SonicWall ni la línia SMA 100.
  • Sense workaround possible. Nomes el pedac.
  • Hotfixes: 12.4.3-03453 i 12.5.0-02835 des de mysonicwall.com.
  • CISA KEV i BOD 26-04: termini 17 de juliol per a agències federals. 17 vulnerabilitats de SonicWall ja al catàleg KEV.

Per què els appliances d’accés remot són l’objectiu més atacat del perímetre el 2026

  1. Són la porta d’entrada legítima a la xarxa. Comprometre’n un equival a comprometre el perímetre.
  2. El SSRF sense autenticació elimina el requisit de credencials prèvies.
  3. El patró és sistemàtic i es repeteix en tots els grans fabricants de perímetre. El blog d’Apolo ha documentat durant el juny i juliol de 2026 el mateix patró a Palo Alto, Check Point, Cisco SD-WAN, FortiBleed i ara SonicWall SMA1000.

Com es produeix l’explotació en cadena de CVE-2026-15409 i CVE-2026-15410

  1. L’atacant identifica un appliance SMA1000 accessible des d’internet.
  2. Envia una petició construida a la interfície Work Place explotant CVE-2026-15409, obrint un túnel WebSocket cap al port 8188 de localhost.
  3. L’appliance actua com a proxy autenticat davant l’AMC, eludint CVE-2026-15410.
  4. L’atacant injecta comandes del SO que s’executen com a root.
  5. Accés root obtingut: pot interceptar credencials VPN, instal·lar backdoors i pivotar cap a la xarxa interna.

Lliçons clau i accions immediates

Acció 1 — Pedacar de seguida: actualitzar a 12.4.3-03453 o 12.5.0-02835 des de mysonicwall.com. Si no es pot aplicar de seguida, desconnectar l’appliance d’internet.

Acció 2 — Revisar logs per IOCs: extraweb_access.log (peticions a /wsproxy), ctrl-service.log i /var/lib/unit/conf.json. El pedac no elimina un compromis existent: si hi ha IOCs, reimaginar l’appliance i rotar totes les credencials.

Acció 3 — Reduir la superfície d’atac: restringir l’accés a Work Place per IP. No mitiga completament però redueix l’exposició.

Acció 4 — Inventariar: CVE-2026-15409 i CVE-2026-15410 no afecten el SSL VPN dels firewalls SonicWall ni la línia SMA 100.

La ciberseguretat com a prioritat estratègica

El segon trimestre de 2026 ha deixat una conclusió inquívoca: els appliances de perímetre són l’objectiu número u. Per a les empreses espanyoles que usen SMA1000 com a gateway d’accés remot, la pregunta d’avui no és si han de pedacar. És si ho faran abans que el termini de demà faci la pregunta obsoleta.

Apolo Cybersecurity: pedac urgent i anàlisi forense de SonicWall SMA1000

A Apolo Cybersecurity ajudem organitzacions amb appliances SonicWall SMA1000: verificació de la versió, aplicació urgent del hotfix, anàlisi forense de logs per IOCs, reimatge d’appliances compresos i rotació de credencials.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!