SonicWall hat zwei aktiv ausgenutzte Zero-Day-Schwachstellen gepatcht, die die SMA 1000 Serie sicherer Fernzugriffsgeräte betreffen. Die Probleme sind CVE-2026-15409, eine kritische, nicht authentifizierte SSRF-Schwachstelle in der Workplace-Oberfläche, und CVE-2026-15410, eine Code-Injektions-Schwachstelle nach Authentifizierung in der Gerätemanagementkonsole, die dazu führen kann, dass unter bestimmten Bedingungen beliebige OS-Befehle als Administrator ausgeführt werden. Öffentliche Berichte besagen, dass die Schwachstellen zusammen in realen Angriffen auf SMA6210-, SMA7210- und SMA8200v-Geräte ausgenutzt wurden.
Die wichtigsten Details zu CVE-2026-15409 sind, dass dies den Pre-Authentifizierungsfuß bietet, während CVE-2026-15410 verwendet wird, nachdem privilegierter Zugriff erlangt wurde, um die Kontrolle über das Gerät zu vertiefen. SonicWall sagt, dass betroffene Firmware-Linien 12.4.3-03245 / 03387 / 03434 und 12.5.0-02283 / 02624 / 02800 beinhalten, mit Fixes, die in 12.4.3-03453+ und 12.5.0-02835+ veröffentlicht wurden.
Analyse von CVE-2026-15410 und CVE-2026-15409
Aus Sicht der Taktik nehmen die beiden Fehler unterschiedliche Rollen in der Einbruchskette ein. CVE-2026-15409 betrifft die Appliance Workplace-Schnittstelle und ermöglicht es einem entfernten, nicht authentifizierten Angreifer, das Gerät dazu zu zwingen, Anfragen an unbeabsichtigte Orte zu stellen. CVE-2026-15410 zielt dann auf die Appliance Management-Konsole ab und kann es einem entfernten Angreifer erlauben, der als Admin authentifiziert ist, willkürliche Betriebssystembefehle auszuführen. In beobachteten Angriffen wurde laut öffentlichen Berichten gesagt, dass die Schwachstellen eher in Ketten als isoliert genutzt wurden.
Die betriebliche Auswirkung geht über die anfängliche Kompromittierung des Geräts hinaus. Help Net Security berichtet, dass Angreifer, die die Schwachstellen ausnutzten, hochwertige Anmeldeinformationen, aktive Sitzungsdatenbanken und TOTP-Konfigurationen für die Mehrfaktor-Authentifizierung extrahierten und dann das Gerät als verdeckte Zugriffsmöglichkeit für weitere Bewegungen nutzten. Die gleichen Berichte zitieren auch Rapid7-Beobachtungen von anomalen Active Directory Authentifizierungen ohne VPN, die von der internen IP-Adresse des kompromittierten SMA-Geräts stammen, was darauf hinweist, dass das Gerät zu einer unüberwachten Hintertür in die Verzeichnis-Infrastruktur geworden ist.
Zum Zeitpunkt des Berichtens war die öffentliche Exploitation-Reife bereits hoch. Help Net Security sagt, Rapid7 habe ein CVE-2026-15409 PoC zur Validierung der Exposition veröffentlicht, während SonicWall und beide Nachrichtenberichte die Ausnutzung in freier Wildbahn bestätigten und feststellten, dass CISA die beiden Schwachstellen ihrem Katalog der bekannten ausgenutzten Schwachstellen hinzufügte.
CVE-2026-15410 und CVE-2026-15409 Minderungsmaßnahmen
SonicWall hat klargestellt, dass Patchen allein nicht ausreicht. Der Anbieter empfiehlt dringend ein sofortiges Upgrade, aber auch eine Überprüfung der Geräte auf Kompromittierung und, falls Indikatoren vorhanden sind, eine Neubesprechung physischer Geräte oder die erneute Bereitstellung virtueller Geräte, das Ändern von Benutzer- und Administratorpasswörtern und das Zurücksetzen von TOTP-Token. Diese Anleitung spiegelt wider, dass Angreifer möglicherweise bereits Persistenz etabliert oder Authentifizierungsmaterial erbeutet haben, bevor Verteidiger die behobene Firmware anwenden.
Eine praktische CVE-2026-15409-Erkennung sollte mit den von SonicWall veröffentlichten Log- und Dateisystem-Indikatoren beginnen. Die auffälligsten CVE-2026-15409-IOCs in öffentlichen Berichten umfassen Anfragen in extraweb_access.log an /__api__/login oder /__api__/logout mit HTTP 200 Rückgabe, Anfragen an /wsproxy mit verdächtigen Host-Parametern mit HTTP 101 Rückgabe, Einträge in ctrl-service.log, die Rollbacks von Hotfixes mit Pfad-Durchlauf-Namen zeigen, und unerwartete /__api__/login oder /__api__/logout Routen innerhalb von /var/lib/unit/conf.json.
Um die Exposition gegenüber CVE-2026-15409 und nachfolgende Exploitation-Aktivitäten zu erkennen, sollten Verteidiger die Firmware-Validierung mit einer forensischen Überprüfung dieser Artefakte und Zugriffsmuster des Geräts kombinieren. Da SonicWall angibt, dass die beiden Schwachstellen aktiv ausgenutzt wurden und nicht nur auf seine Plattform beschränkt sind, sollten Organisationen, die internetbasierte SMA 1000-Geräte betreiben, verdächtigen Zugriff, veränderte Routing-Einträge oder Rollback-Artefakte als potenzielle Anzeichen einer vollständigten Gerätekopplung betrachten, anstatt einfache versuchte Exploits.
Haftungsausschluss: Erkennungsinhalte sind möglicherweise nicht für jede CVE verfügbar. Überprüfen Sie die SOC Prime Plattform auf aktuelle Abdeckung. Wenn Sie jetzt keine relevanten Erkennungen finden, schauen Sie bitte später noch einmal vorbei.
FAQ
Was sind CVE-2026-15410 und CVE-2026-15409 und wie funktionieren sie?
CVE-2026-15409 ist eine kritische SSRF-Schwachstelle in der SonicWall SMA 1000 Workplace-Schnittstelle, die remote ohne Authentifizierung ausgenutzt werden kann, um das Gerät dazu zu bringen, Anfragen an unbeabsichtigte Orte zu senden. CVE-2026-15410 ist eine Code-Injektions-Schwachstelle nach der Authentifizierung in der Appliance Management-Konsole, die es einem authentifizierten Angreifer auf Admin-Ebene ermöglichen kann, beliebige Betriebssystembefehle auszuführen. Öffentliche Berichte sagen, dass die beiden Fehler zusammen in realen Angriffen genutzt wurden.
Wann wurden CVE-2026-15410 und CVE-2026-15409 zum ersten Mal entdeckt?
Die öffentlichen Berichte geben kein privates Entdeckungsdatum bekannt. Bestätigt ist, dass SonicWall die Probleme und deren Behebungen Mitte Juli 2026 öffentlich bekannt gab und Adam Babis vom SonicWall PSIRT mit der Entdeckung und Meldung der Schwachstellen kreditiert. SonicWall hat später auch Sean Koessel und Steven Adair von Volexity für ihre Hilfe bei der Erweiterung der Untersuchung und der IOC-Liste anerkannt.
Was ist die Auswirkung von CVE-2026-15410 und CVE-2026-15409 auf Systeme?
Die kombinierte Auswirkung kann schwerwiegend sein. Öffentliche Berichte besagen, dass die Ausnutzung zu nicht autorisierten Anfragen durch das Gerät, beliebiger Befehlsausführung als Administrator, Diebstahl von Anmeldedaten und Sitzungsdaten, Offenlegung von TOTP-Saatkonfigurationen und weiterer Bewegung in interne Infrastrukturen führen kann, indem das kompromittierte Gerät als Hintertür genutzt wird.
Können mich CVE-2026-15410 und CVE-2026-15409 im Jahr 2026 noch betreffen?
Ja. Organisationen können 2026 weiterhin gefährdet sein, wenn sie weiterhin betroffene SMA 1000-Firmware-Versionen verwenden oder wenn ihre Geräte vor der Fehlerbehebung kompromittiert wurden und nicht forensisch überprüft und bei Bedarf neu aufgebaut wurden. Beide Schwachstellen wurden in den KEV-Katalog der CISA aufgenommen, was die Dringlichkeit unterstreicht.
Wie kann ich mich vor CVE-2026-15410 und CVE-2026-15409 schützen?
Führen Sie sofort ein Upgrade auf die behobenen SonicWall-Hotfix-Versionen durch, überprüfen Sie Logs und Konfigurationsartefakte auf die veröffentlichten Indikatoren, und falls eine Kompromittierung vermutet wird, führen Sie eine Neubildung oder neue Bereitstellung des Geräts durch, ändern Sie Passwörter und setzen Sie TOTP-Token zurück. Der eigenen Anleitung von SonicWall zufolge sollte die Abhilfe sowohl Patchen als auch die Bewertung der Kompromittierung umfassen.