CVE-2026-15410 y CVE-2026-15409: Explotación de Zero-Days de SonicWall SMA 1000 en el Entorno

CVE-2026-15410 y CVE-2026-15409: Explotación de Zero-Days de SonicWall SMA 1000 en el Entorno

SOC Prime Team
SOC Prime Team linkedin icon Seguir

Add to my AI research

SonicWall ha corregido dos vulnerabilidades de día cero activamente explotadas que afectan a los dispositivos de acceso remoto seguro de la serie SMA 1000. Los problemas son CVE-2026-15409, una falla crítica de SSRF sin autenticación en la interfaz Workplace, y CVE-2026-15410, una falla de inyección de código post-autenticación en la Consola de Gestión del Dispositivo que puede llevar a la ejecución arbitraria de comandos del sistema operativo como administrador bajo ciertas condiciones. Los informes públicos dicen que las vulnerabilidades se han explotado juntas en ataques reales contra los dispositivos SMA6210, SMA7210 y SMA8200v.

Los detalles más importantes para CVE-2026-15409 son que proporciona el punto de apoyo pre-autenticación, mientras que CVE-2026-15410 se utiliza después de obtener acceso privilegiado para profundizar el control sobre el dispositivo. SonicWall afirma que las líneas de firmware afectadas incluyen 12.4.3-03245 / 03387 / 03434 y 12.5.0-02283 / 02624 / 02800, con correcciones liberadas en 12.4.3-03453+ y 12.5.0-02835+.

Análisis de CVE-2026-15410 y CVE-2026-15409

Desde una perspectiva de técnica, los dos errores sirven roles diferentes en la cadena de intrusión. CVE-2026-15409 afecta la interfaz Workplace del dispositivo y permite a un atacante remoto no autenticado forzar al dispositivo a hacer solicitudes a ubicaciones no previstas. Luego, CVE-2026-15410 se dirige a la Consola de Gestión del Dispositivo y puede permitir a un atacante remoto autenticado como administrador ejecutar comandos arbitrarios del sistema operativo. En ataques observados, los informes públicos dicen que los fallos se encadenaron juntos en lugar de usarse de forma aislada.

El impacto operativo va más allá del compromiso inicial del dispositivo. Help Net Security informa que los atacantes que explotaron los fallos extrajeron credenciales de alto valor, bases de datos de sesiones activas y configuraciones de semillas de autenticación multifactor TOTP, y luego usaron el dispositivo como un punto de apoyo sigiloso para un movimiento adicional. El mismo informe también cita observaciones de Rapid7 de autenticaciones anómalas, sin VPN, de Active Directory que se originan desde la dirección IP interna del dispositivo SMA comprometido, indicando que el dispositivo se había convertido en una puerta trasera no monitoreada hacia la infraestructura de directorios.

En el momento del informe, la madurez de la explotación pública ya era alta. Help Net Security dice que Rapid7 lanzó un PoC para CVE-2026-15409 para la validación de la exposición, mientras que SonicWall y ambos informes de noticias confirmaron la explotación en estado salvaje y señalaron que CISA añadió las dos vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas.

Mitigación de CVE-2026-15410 y CVE-2026-15409

SonicWall ha dejado claro que solo parchar no es suficiente. El proveedor recomienda actualizar de inmediato, pero también revisar los dispositivos para detectar compromiso y, si hay indicadores presentes, reimaginar dispositivos físicos o volver a implementar dispositivos virtuales, cambiar contraseñas de usuarios y administradores, y restablecer tokens TOTP. Esa guía refleja el hecho de que los atacantes pueden haber establecido persistencia o recolectado material de autenticación antes de que los defensores apliquen el firmware corregido.

La detección práctica de CVE-2026-15409 debería comenzar con los indicadores publicados en los registros de SonicWall y el sistema de archivos. Los IOCs más notables de CVE-2026-15409 en los informes públicos incluyen solicitudes en extraweb_access.log a /__api__/login o /__api__/logout devolviendo HTTP 200, solicitudes a /wsproxy con parámetros de host sospechosos devolviendo HTTP 101, entradas en ctrl-service.log que muestran retrocesos de correcciones con nombres de estilo de recorrido de ruta, y rutas inesperadas /__api__/login o /__api__/logout dentro de /var/lib/unit/conf.json.

Para detectar la exposición de CVE-2026-15409 y la actividad post-explotación, los defensores deberían combinar la validación del firmware con la revisión forense de esos artefactos y los patrones de acceso al dispositivo. Debido a que SonicWall dice que las dos fallas se explotaron activamente y no son únicas de su plataforma, las organizaciones que ejecutan dispositivos SMA 1000 con acceso a internet deberían tratar el acceso sospechoso, las entradas de ruta alteradas o los artefactos de retroceso como posibles signos de compromiso completo del dispositivo en lugar de simples intentos fallidos de explotación.

VERIFICAR DETECCIONES DISPONIBLES

Descargo de responsabilidad: El contenido de detección puede no estar disponible para cada CVE. Consulte la Plataforma de SOC Prime para obtener cobertura actual. Si no encuentra detecciones relevantes ahora, por favor, vuelva a comprobar más tarde.

 

FAQ

¿Qué son CVE-2026-15410 y CVE-2026-15409 y cómo funcionan?

CVE-2026-15409 es una falla crítica de SSRF en la interfaz Workplace de SonicWall SMA 1000 que puede ser explotada de forma remota sin autenticación para hacer que el dispositivo envíe solicitudes a ubicaciones no deseadas. CVE-2026-15410 es una falla de inyección de código post-autenticación en la Consola de Gestión del Dispositivo que puede permitir a un atacante autenticado a nivel de administrador ejecutar comandos arbitrarios del sistema operativo. Los informes públicos dicen que los dos fallos se han utilizado juntos en ataques reales.

¿Cuándo se descubrieron por primera vez CVE-2026-15410 y CVE-2026-15409?

Los informes públicos no revelan una fecha privada de descubrimiento. Lo que está confirmado es que SonicWall divulgó públicamente los problemas y sus soluciones a mediados de julio de 2026, y acreditó a Adam Babis del PSIRT de SonicWall por descubrir e informar sobre las fallas. SonicWall también acreditó más tarde a Sean Koessel y Steven Adair de Volexity por ayudar a expandir la investigación y la lista de IOCs.

¿Cuál es el impacto de CVE-2026-15410 y CVE-2026-15409 en los sistemas?

El impacto combinado puede ser severo. Los informes públicos dicen que la explotación puede llevar a solicitudes no autorizadas desde el dispositivo, ejecución arbitraria de comandos como administrador, robo de credenciales y datos de sesión, exposición de configuraciones de semillas de TOTP y movimiento continuo hacia infraestructura interna utilizando el dispositivo comprometido como una puerta trasera.

¿Pueden CVE-2026-15410 y CVE-2026-15409 aún afectarme en 2026?

Sí. Las organizaciones aún pueden estar expuestas en 2026 si continúan ejecutando versiones de firmware de SMA 1000 afectadas o si sus dispositivos fueron comprometidos antes de aplicar parches y no fueron revisados forensicamente y reconstruidos donde fuera necesario. Ambos fallos se añadieron al catálogo de KEV de CISA, subrayando la urgencia.

¿Cómo puedo protegerme de CVE-2026-15410 y CVE-2026-15409?

Actualice de inmediato a las versiones de corrección de SonicWall, revise los registros y los artefactos de configuración para los indicadores publicados, y si se sospecha de un compromiso, reimagen o vuelva a implementar el dispositivo, rote las contraseñas y restablezca los tokens TOTP. La guía de SonicWall enfatiza que la remediación debe incluir tanto la aplicación de parches como la evaluación de compromisos.

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

More Articles