A SonicWall alertou que agentes de ameaça vêm explorando duas vulnerabilidades no SMA1000, identificadas como
CVE-2026-15409
e
CVE-2026-15410
, em ataques zero-day, e orientou os clientes a instalarem as atualizações de segurança recém-lançadas.
A
CVE-2026-15409
é uma vulnerabilidade crítica de falsificação de solicitação do lado do servidor, com CVSS 10,0, na interface SMA1000 Appliance Work Place.
Ela permite que um atacante remoto e não autenticado force o equipamento a fazer solicitações para destinos não pretendidos.
Já a
CVE-2026-15410
é uma falha de injeção de código de alta gravidade, com CVSS 7,2, na console de gerenciamento do SMA1000 Appliance, após autenticação.
O problema pode permitir que um administrador remoto autenticado execute comandos arbitrários no sistema operacional.
Embora a
CVE-2026-15410
exija privilégios de administrador, a SonicWall atribuiu ao boletim um CVSS geral de 10,0.
Segundo a empresa, a investigação de vários incidentes confirmou que as duas vulnerabilidades estão sendo exploradas ativamente.
“O PSIRT da SonicWall investigou vários casos que indicam a exploração ativa das vulnerabilidades descritas neste boletim”, informou a companhia.
“Aos clientes, recomendamos fortemente a atualização para a versão hotfix o mais rápido possível para corrigir essas vulnerabilidades.”
A empresa, porém, não informou se os atacantes estão encadeando as duas falhas.
As vulnerabilidades afetam os modelos SMA1000 6210, 7210 e 8200v que executam as versões platform-hotfix 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 e 12.5.0-02800.
As correções estão disponíveis nas versões platform-hotfix 12.4.3-03453 e 12.5.0-02835, além das versões posteriores.
A SonicWall afirma que as falhas não afetam o SSL-VPN em execução nos firewalls SonicWall nem a linha de produtos SMA 100 Series.
A companhia também divulgou indicadores de comprometimento, os IOC, que administradores podem usar para verificar se um equipamento foi invadido:
se o arquivo extraweb_access.log mencionar solicitações para /__api__/login ou /__api__/logout com status HTTP 200;
se o arquivo extraweb_access.log mencionar solicitações para /wsproxy com parâmetros de host suspeitos e status HTTP 101;
se o arquivo ctrl-service.log mencionar reversões de hotfix com nomes de travessia de caminho;
se o arquivo /var/lib/unit/conf.json contiver rotas para /__api__/login ou /__api__/logout, já que essas URIs não existem em configurações legítimas.
A SonicWall recomenda fortemente a atualização para a versão hotfix mais recente e a realização de uma análise para verificar se algum dos IOC acima está presente.
Se um dispositivo for considerado comprometido, a empresa orienta os administradores a reinstalar a imagem de aparelhos físicos ou redeployar aparelhos virtuais, alterar todas as senhas de usuários e administradores e redefinir tokens TOTP.
A SonicWall também observa que não há alternativas ou medidas de mitigação para essas falhas além da instalação dos hotfixes.
A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos, CISA, adicionou ambas as vulnerabilidades ao catálogo Known Exploited Vulnerabilities, o KEV, confirmando que elas estão sendo exploradas em ataques.
Os órgãos federais têm até 17 de julho de 2026 para proteger os sistemas afetados, conforme a Binding Operational Directive 26-04, ou suspender o uso do produto caso não seja possível aplicar as medidas de mitigação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...