CVE-2026-15410およびCVE-2026-15409:SonicWall SMA 1000ゼロデイの野での悪用

CVE-2026-15410およびCVE-2026-15409:SonicWall SMA 1000ゼロデイの野での悪用

SOC Prime Team
SOC Prime Team linkedin icon フォローする

Add to my AI research

SonicWallはSMA 1000シリーズの安全なリモートアクセスアプライアンスに影響を与える2つの積極的に悪用されているゼロデイを修正しました。問題はCVE-2026-15409で、Workplaceインターフェースにある重大な認証なしのSSRF脆弱性、およびAppliance Management ConsoleにあるCVE-2026-15410で、これにより特定の条件下で管理者として任意のOSコマンド実行を引き起こす可能性がある認証後のコードインジェクションの脆弱性です。公開報告によると、これらの脆弱性は実際の攻撃でSMA6210、SMA7210、およびSMA8200vアプライアンスに対して一緒に悪用されています。

CVE-2026-15409の最も重要な詳細は、認証前の足がかりを提供することです。一方、CVE-2026-15410は特権アクセスが取得された後にアプライアンスの制御を深めるために使用されます。SonicWallによると、影響を受けるファームウェアラインは12.4.3-03245 / 03387 / 03434および12.5.0-02283 / 02624 / 02800を含み、修正は12.4.3-03453+および12.5.0-02835+でリリースされています。

CVE-2026-15410およびCVE-2026-15409分析

トレードクラフトの視点から見ると、2つのバグは侵入チェーンで異なる役割を果たします。CVE-2026-15409はAppliance Workplaceインターフェースに影響を与え、リモート認証されていない攻撃者が不本意な場所にデバイスを要求させることを可能にします。CVE-2026-15410はその後、Appliance Management Consoleをターゲットにし、管理者として認証されたリモート攻撃者が任意のOSコマンドを実行できる可能性があります。観測された攻撃では、公開報告は脆弱性が連鎖して使用され、単独で使用されることはなかったとしています。

運用への影響は最初のアプライアンスの妥協を超えています。Help Net Securityは、脆弱性を悪用した攻撃者が高価値の認証情報、アクティブなセッションデータベース、およびTOTP多要素認証シード構成を抽出し、その後、アプライアンスをさらなる動きを行うためのステルスの足がかりとして使用したと報告しています。同じ報告には、Rapid7の観察に基づく不正な、VPNレスのActive Directory認証が侵害されたSMAアプライアンスの内部IPアドレスから行われていることが示されており、デバイスがディレクトリ インフラストラクチャへの未監視のバックドアとなっていたことを示しています。

報告時点で、公開された悪用の成熟度はすでに高かったです。Help Net Securityによると、Rapid7は露出検証のためにCVE-2026-15409 PoCをリリースしました。SonicWallと両方のニュース報告は、野外での悪用を確認し、CISAがこれらの2つの脆弱性を既知の悪用された脆弱性のカタログに追加したことを指摘しました。

CVE-2026-15410およびCVE-2026-15409の緩和策

SonicWallは、パッチ適用だけでは不十分であることを明確に示しています。ベンダーは直ちにアップグレードし、アプライアンスの妥協を検討し、指標が存在する場合は物理的なアプライアンスを再イメージングまたは仮想アプライアンスの再配置、ユーザーと管理者のパスワードの変更、TOTPトークンのリセットを推奨しています。この指針は、修正されたファームウェアを適用する前に攻撃者が永続性を確立したり、認証情報を収集したりする可能性があることを反映しています。

実際的なCVE-2026-15409の検出は、SonicWallが公開しているログとファイルシステムの指標から始まるべきです。公開報告で最も注目されるCVE-2026-15409のIOCには、HTTP 200を返す/ __api__/ loginまたは/ __api__/ logoutへのextraweb_access.log内のリクエスト、HTTP 101を返す疑わしいホストパラメーターを含む/wsproxyへのリクエスト、path-traversal-styleの名前を含むホットフィックスのロールバックを示すctrl-service.log内のエントリー、/var/lib/unit/conf.json内の予期しない/ __api__/ loginまたは/ __api__/ logoutのルートがあります。

CVE-2026-15409の露出およびポストエクスプロイト活動を検出するために、防御者はファームウェアの検証をこれらの成果物およびアプライアンスアクセスパターンの法科学的レビューと組み合わせる必要があります。SonicWallによれば、これら2つの脆弱性は積極的に悪用されており、同社のプラットフォームに特有のものではないため、インターネットに接続されたSMA 1000デバイスを運用する組織は、疑わしいアクセス、変更されたルーティングエントリー、またはロールバックアーティファクトを単純な失敗したエクスプロイトの試みではなく、完全なアプライアンスの妥協の潜在的な兆候とみなすべきです。

利用可能な検出をチェックしてください

免責事項:すべてのCVEに対して検出コンテンツが利用可能でない場合があります。現在のカバレッジについてはSOC Prime Platformを確認してください。関連する検出が見つからない場合は、後ほど再確認してください。

 

FAQ

CVE-2026-15410およびCVE-2026-15409とは何であり、どのように機能するのでしょうか?

CVE-2026-15409は、認証なしでリモートから悪用可能なSonicWall SMA 1000 Workplaceインターフェースにある重大なSSRFの脆弱性であり、アプライアンスが意図しない場所に要求を送信することができます。CVE-2026-15410はAppliance Management Consoleにある認証後コードインジェクションの脆弱性で、認証された管理者レベルの攻撃者が任意のOSコマンドを実行することを許可できます。公開報告によると、2つのバグは実際の攻撃で一緒に使用されています。

CVE-2026-15410とCVE-2026-15409はいつ最初に発見されましたか?

公開報告では非公開の発見日は明らかにされていません。確認されているのは、SonicWallが2026年7月中旬に問題とその修正を公表し、これらの欠陥を発見および報告したSonicWall PSIRTのAdam Babisに感謝を示したことです。SonicWallは後に、調査の拡大とIOCリストの拡充を支援したVolexityのSean KoesselとSteven Adairにも感謝を示しました。

CVE-2026-15410およびCVE-2026-15409がシステムに与える影響は何ですか?

結合された影響は重大です。公開報告によれば、これらの脆弱性の悪用により、アプライアンスからの不正な要求、管理者としての任意コマンド実行、認証情報やセッションデータの盗難、TOTPシード構成の露出、および侵害されたアプライアンスをバックドアとして使用した内部インフラストラクチャへのさらなる進入が可能になります。

2026年にCVE-2026-15410およびCVE-2026-15409がまだ影響する可能性はありますか?

はい。2026年でも、影響を受けるSMA 1000ファームウェアバージョンを続けて使用する場合や、修正パッチを適用する前にアプライアンスが侵害され、必要な場合に法医学的にレビューおよび再構築されていない場合、依然として影響を受ける可能性があります。両方の脆弱性はCISAのKEVカタログに追加されており、緊急性を強調しています。

CVE-2026-15410およびCVE-2026-15409から自分を守るにはどうすればよいですか?

SonicWallの修正ホットフィックスバージョンに直ちにアップグレードし、公開されている指標のためにログと構成アーティファクトをレビューし、侵害が疑われる場合はアプライアンスを再イメージまたは再展開し、パスワードを回転し、TOTPトークンをリセットしてください。SonicWall自身の指導は、修復はパッチ適用と妥協評価の両方を含むべきであると強調しています。

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

More Articles