
SonicWall advierte sobre la explotación activa de dos vulnerabilidades de día cero que afectan a los dispositivos Secure Mobile Access (SMA) serie 1000, una de las cuales podría explotarse para ejecutar comandos arbitrarios.
Las vulnerabilidades se enumeran a continuación:
CVE-2026-15409 (puntuación CVSS: 10.0): vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF). Esto podría ser aprovechado por un atacante remoto no autenticado para hacer que el dispositivo realice solicitudes a ubicaciones no deseadas. CVE-2026-15410 (puntuación CVSS: 7,2): vulnerabilidad de inyección de código posterior a la autenticación basada en Appliance Management Console (AMC). Un atacante remoto autenticado podría aprovecharlo para ejecutar comandos arbitrarios del sistema operativo como administrador bajo ciertas condiciones.
SonicWall dijo que había «investigado múltiples casos que indicaban una explotación activa de la vulnerabilidad» e instó a los clientes a aplicar la solución lo antes posible. Hay parches disponibles para las siguientes versiones:
12.4.3-03453 (Revisión de plataforma) y versiones posteriores 12.5.0-02835 (Revisión de plataforma) y versiones posteriores
Los usuarios también deben realizar un análisis forense exhaustivo de sus sistemas para confirmar la presencia de indicadores de compromiso (IoC) relacionados con la explotación.
extraweb_access.log muestra una solicitud a /__api__/login o /__api__/logout con estado http 200 extraweb_access.log muestra una solicitud a /wsproxy con un parámetro de host sospechoso con estado http 101 ctrl-service.log muestra una reversión de revisión con nombre de recorrido de ruta /var/lib/unit/conf.json con /__api__/login o /__api__/logout (estos URI no existen en la configuración canónica)
Si alguno de estos indicadores está presente, le recomendamos que vuelva a crear una imagen del dispositivo físico o vuelva a implementar el dispositivo virtual, cambie las contraseñas de usuario y administrador y restablezca los tokens de contraseña de un solo uso basados en el tiempo.
A Adam Babis del Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de SonicWall se le atribuye el mérito de descubrir e informar la falla. SonicWall también reconoció las contribuciones de Sean Koessel y Steven Adair de Volexity para avanzar en la investigación interna e identificar IoC adicionales.
En respuesta a este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó dos fallas a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen correcciones antes del 17 de julio de 2026.
Source link
