SonicWall alerta para falhas no SMA1000 exploradas em ataques zero-day; aplique o patch agora
15 de Julho de 2026

A SonicWall alertou que agentes de ameaça vêm explorando duas vulnerabilidades no SMA1000, identificadas como CVE-2026-15409 e CVE-2026-15410 , em ataques zero-day, e orientou os clientes a instalarem as atualizações de segurança recém-lançadas.

A CVE-2026-15409 é uma vulnerabilidade crítica de falsificação de solicitação do lado do servidor, com CVSS 10,0, na interface SMA1000 Appliance Work Place.

Ela permite que um atacante remoto e não autenticado force o equipamento a fazer solicitações para destinos não pretendidos.

Já a CVE-2026-15410 é uma falha de injeção de código de alta gravidade, com CVSS 7,2, na console de gerenciamento do SMA1000 Appliance, após autenticação.

O problema pode permitir que um administrador remoto autenticado execute comandos arbitrários no sistema operacional.

Embora a CVE-2026-15410 exija privilégios de administrador, a SonicWall atribuiu ao boletim um CVSS geral de 10,0.

Segundo a empresa, a investigação de vários incidentes confirmou que as duas vulnerabilidades estão sendo exploradas ativamente.

“O PSIRT da SonicWall investigou vários casos que indicam a exploração ativa das vulnerabilidades descritas neste boletim”, informou a companhia.

“Aos clientes, recomendamos fortemente a atualização para a versão hotfix o mais rápido possível para corrigir essas vulnerabilidades.”

A empresa, porém, não informou se os atacantes estão encadeando as duas falhas.

As vulnerabilidades afetam os modelos SMA1000 6210, 7210 e 8200v que executam as versões platform-hotfix 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 e 12.5.0-02800.

As correções estão disponíveis nas versões platform-hotfix 12.4.3-03453 e 12.5.0-02835, além das versões posteriores.

A SonicWall afirma que as falhas não afetam o SSL-VPN em execução nos firewalls SonicWall nem a linha de produtos SMA 100 Series.

A companhia também divulgou indicadores de comprometimento, os IOC, que administradores podem usar para verificar se um equipamento foi invadido:

se o arquivo extraweb_access.log mencionar solicitações para /__api__/login ou /__api__/logout com status HTTP 200;
se o arquivo extraweb_access.log mencionar solicitações para /wsproxy com parâmetros de host suspeitos e status HTTP 101;
se o arquivo ctrl-service.log mencionar reversões de hotfix com nomes de travessia de caminho;
se o arquivo /var/lib/unit/conf.json contiver rotas para /__api__/login ou /__api__/logout, já que essas URIs não existem em configurações legítimas.

A SonicWall recomenda fortemente a atualização para a versão hotfix mais recente e a realização de uma análise para verificar se algum dos IOC acima está presente.

Se um dispositivo for considerado comprometido, a empresa orienta os administradores a reinstalar a imagem de aparelhos físicos ou redeployar aparelhos virtuais, alterar todas as senhas de usuários e administradores e redefinir tokens TOTP.

A SonicWall também observa que não há alternativas ou medidas de mitigação para essas falhas além da instalação dos hotfixes.

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos, CISA, adicionou ambas as vulnerabilidades ao catálogo Known Exploited Vulnerabilities, o KEV, confirmando que elas estão sendo exploradas em ataques.

Os órgãos federais têm até 17 de julho de 2026 para proteger os sistemas afetados, conforme a Binding Operational Directive 26-04, ou suspender o uso do produto caso não seja possível aplicar as medidas de mitigação.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...