CVE-2026-15410 e CVE-2026-15409: Zero-Day di SonicWall SMA 1000 sfruttati nel mondo reale

CVE-2026-15410 e CVE-2026-15409: Zero-Day di SonicWall SMA 1000 sfruttati nel mondo reale

SOC Prime Team
SOC Prime Team linkedin icon Segui

Add to my AI research

SonicWall ha risolto due zero-day sfruttati attivamente che interessano gli apparecchi di accesso remoto sicuro della serie SMA 1000. I problemi sono CVE-2026-15409, una vulnerabilità critica SSRF non autenticata nell’interfaccia Workplace, e CVE-2026-15410, una vulnerabilità di iniezione di codice post-autenticazione nella Appliance Management Console che può portare all’esecuzione arbitraria di comandi OS come amministratore in determinate condizioni. Segnalazioni pubbliche indicano che le vulnerabilità sono state sfruttate insieme in attacchi reali contro gli apparecchi SMA6210, SMA7210 e SMA8200v.

I dettagli più importanti per CVE-2026-15409 sono che fornisce un punto di appoggio pre-autenticazione, mentre CVE-2026-15410 viene utilizzato dopo aver ottenuto l’accesso privilegiato per approfondire il controllo sull’apparecchio. SonicWall afferma che le linee di firmware interessate includono 12.4.3-03245 / 03387 / 03434 e 12.5.0-02283 / 02624 / 02800, con correzioni rilasciate in 12.4.3-03453+ e 12.5.0-02835+.

Analisi CVE-2026-15410 e CVE-2026-15409

Da una prospettiva di tradecraft, i due bug servono a ruoli diversi nella catena d’intrusione. CVE-2026-15409 colpisce l’interfaccia Appliance Workplace e consente a un attaccante remoto non autenticato di forzare il dispositivo a fare richieste verso località non volute. CVE-2026-15410 prende invece di mira la Appliance Management Console e può consentire a un attaccante remoto autenticato come amministratore di eseguire comandi di sistema operativo arbitrari. Negli attacchi osservati, i rapporti pubblici indicano che i difetti sono stati utilizzati insieme piuttosto che isolatamente.

L’impatto operativo va oltre il compromesso iniziale dell’apparecchio. Help Net Security riporta che gli attaccanti che hanno sfruttato le vulnerabilità hanno estratto credenziali di alto valore, database di sessioni attive e configurazioni di semi di autenticazione multi-fattore TOTP, utilizzando poi l’apparecchio come punto di appoggio furtivo per ulteriori movimenti. Lo stesso rapporto cita anche osservazioni di Rapid7 di autenticazioni Active Directory anomale, senza VPN, provenienti dall’indirizzo IP interno dell’apparecchio SMA compromesso, indicando che il dispositivo è diventato una backdoor non monitorata nell’infrastruttura di directory.

Al momento della segnalazione, la maturità dello sfruttamento pubblico era già alta. Help Net Security afferma che Rapid7 ha rilasciato un PoC per CVE-2026-15409 per la convalida dell’esposizione, mentre SonicWall e entrambi i rapporti hanno confermato lo sfruttamento reale e hanno notato che CISA ha aggiunto i due difetti al suo catalogo di Vulnerabilità Sfruttate Conosciute.

Mitigazione CVE-2026-15410 e CVE-2026-15409

SonicWall ha chiarito che il solo patching non è sufficiente. Il fornitore raccomanda di aggiornare immediatamente, ma anche di esaminare gli apparecchi per il compromesso e, se sono presenti indicatori, reinstallare gli apparecchi fisici o ridistribuire quelli virtuali, cambiare le password utente e amministratore e reimpostare i token TOTP. Tale guida riflette il fatto che gli attaccanti potrebbero aver già stabilito una persistenza o raccolto materiale di autenticazione prima che i difensori applichino il firmware corretto.

Il rilevamento pratico di CVE-2026-15409 dovrebbe iniziare con gli indicatori di log e filesystem pubblicati da SonicWall. Gli IOCs più notevoli di CVE-2026-15409 nei rapporti pubblici includono richieste in extraweb_access.log a /__api__/login o /__api__/logout che restituiscono HTTP 200, richieste a /wsproxy con parametri host sospetti che restituiscono HTTP 101, voci in ctrl-service.log che mostrano rollback di hotfix con nomi in stile path-traversal e rotte inaspettate /__api__/login o /__api__/logout all’interno di /var/lib/unit/conf.json.

Per rilevare l’esposizione CVE-2026-15409 e l’attività post-sfruttamento, i difensori dovrebbero combinare la convalida del firmware con la revisione forense di quei manufatti e schemi di accesso all’apparecchio. Poiché SonicWall afferma che i due difetti sono stati sfruttati attivamente e non sono unici per la sua piattaforma, le organizzazioni che gestiscono dispositivi SMA 1000 esposti a Internet dovrebbero trattare accessi sospetti, voci di routing modificate o artefatti di rollback come potenziali segni di un compromesso completo dell’apparecchio anziché semplici tentativi di sfruttamento falliti.

CONTROLLARE LE RILEVAZIONI DISPONIBILI

Disclaimer: Il contenuto del rilevamento potrebbe non essere disponibile per ogni CVE. Controlla la piattaforma SOC Prime per la copertura attuale. Se non trovi rilevamenti pertinenti ora, ti preghiamo di controllare di nuovo più tardi.

 

FAQ

Cosa sono CVE-2026-15410 e CVE-2026-15409 e come funzionano?

CVE-2026-15409 è una vulnerabilità critica SSRF nell’interfaccia Workplace di SonicWall SMA 1000 che può essere sfruttata in remoto senza autenticazione per fare in modo che l’apparecchio invii richieste a località non volute. CVE-2026-15410 è una vulnerabilità di iniezione di codice post-autenticazione nella Appliance Management Console che può consentire a un attaccante autenticato a livello admin di eseguire comandi arbitrari del sistema operativo. I rapporti pubblici indicano che i due bug sono stati utilizzati insieme in attacchi reali.

Quando sono stati scoperti per la prima volta CVE-2026-15410 e CVE-2026-15409?

Le segnalazioni pubbliche non rivelano una data di scoperta privata. Ciò che è confermato è che SonicWall ha pubblicamente divulgato i problemi e le loro soluzioni a metà luglio 2026, e ha accreditato Adam Babis di SonicWall PSIRT per la scoperta e la segnalazione delle vulnerabilità. SonicWall ha successivamente accreditato anche Sean Koessel e Steven Adair di Volexity per aver aiutato ad ampliare l’indagine e l’elenco degli IOC.

Qual è l’impatto di CVE-2026-15410 e CVE-2026-15409 sui sistemi?

L’impatto combinato può essere grave. I rapporti pubblici indicano che lo sfruttamento può portare a richieste non autorizzate dall’apparecchio, esecuzione arbitraria di comandi come amministratore, furto di credenziali e dati di sessione, esposizione delle configurazioni di semi TOTP e movimenti successivi nell’infrastruttura interna utilizzando l’apparecchio compromesso come backdoor.

CVE-2026-15410 e CVE-2026-15409 possono ancora colpirmi nel 2026?

Sì. Le organizzazioni possono ancora essere esposte nel 2026 se continuano a utilizzare versioni di firmware SMA 1000 interessate o se i loro apparecchi sono stati compromessi prima del patching e non sono stati esaminati forensicamente e ricostruiti dove necessario. Entrambi i difetti sono stati aggiunti al catalogo KEV di CISA, sottolineando l’urgenza.

Come posso proteggermi da CVE-2026-15410 e CVE-2026-15409?

Aggiorna immediatamente alle versioni correttive di SonicWall, rivedi i log e i manufatti di configurazione per gli indicatori pubblicati, e se si sospetta il compromesso, reinstalla o ridistribuisci l’apparecchio, cambia le password e reimposta i token TOTP. Le stesse linee guida di SonicWall sottolineano che la mitigazione dovrebbe includere sia il patching che la valutazione del compromesso.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

More Articles