security-5043368_1280.jpg

SonicWall alerta para exploração ativa de falhas no SMA1000

A SonicWall confirmou ontem que invasores estão explorando ativamente duas vulnerabilidades em seus appliances da série SMA1000, classificadas como CVE-2026-15409 e CVE-2026-15410, e emitiu um alerta urgente para que os clientes instalem as correções de segurança recém-publicadas.

A CVE-2026-15409 (CVSS de 10.0) é uma falha crítica de server-side request forgery (SSRF) na interface Appliance Work Place, que permite que um atacante remoto e não autenticado force o dispositivo a fazer requisições para destinos não autorizados. Já a CVE-2026-15410 (CVSS de 7.2) é uma vulnerabilidade de injeção de código pós-autenticação no Management Console, que pode permitir que um administrador autenticado execute comandos arbitrários no sistema operacional.

Impacto e modelos afetados

Embora a segunda falha exija privilégios administrativos, a SonicWall atribuiu ao aviso uma pontuação CVSS geral de 10.0, conforme comunicado pela empresa. De acordo com o alerta, as vulnerabilidades afetam os modelos SMA1000 6210, 7210 e 8200v, que executam versões hotfix específicas das plataformas 12.4.3 e 12.5.0, e as correções estão disponíveis nas versões 12.4.3-03453 e 12.5.0-02835, e posteriores. A empresa ressaltou que as falhas não impactam o SSL-VPN em firewalls SonicWall nem a linha de produtos SMA 100 Series.

Indicadores de comprometimento e recomendações

A SonicWall compartilhou indicadores de comprometimento (IOCs) para que administradores possam verificar se um appliance foi comprometido, incluindo requisições suspeitas em logs como extraweb_access.log e ctrl-service.log, além da presença de rotas não legítimas no arquivo conf.json. A empresa recomenda que os clientes atualizem para a versão hotfix mais recente e realizem uma análise detalhada para identificar possíveis sinais de invasão. Caso um dispositivo seja comprometido, a orientação é reinicializar os appliances físicos ou reimplantar os virtuais, alterar todas as senhas de usuários e administradores e redefinir os tokens TOTP.

A empresal enfatizou que não há soluções alternativas ou mitigações para essas falhas além da instalação dos hotfixes. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou ambas as vulnerabilidades ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), confirmando a exploração ativa em ataques, e determinou que as agências federais têm até 17 de julho para proteger os sistemas afetados.