CVE-2026-15410 et CVE-2026-15409 : Failles Zero-Day de SonicWall SMA 1000 Exploitées à l’État Sauvage

CVE-2026-15410 et CVE-2026-15409 : Failles Zero-Day de SonicWall SMA 1000 Exploitées à l’État Sauvage

SOC Prime Team
SOC Prime Team linkedin icon Suivre

Add to my AI research

SonicWall a corrigé deux zero-days activement exploités affectant les dispositifs de sécurisation de l’accès à distance SMA 1000 Series. Les problèmes sont CVE-2026-15409, une faille critique SSRF non authentifiée dans l’interface Workplace, et CVE-2026-15410, une faille d’injection de code post-authentification dans la Console de Gestion des Appareils pouvant conduire à l’exécution de commandes OS arbitraires en tant qu’administrateur dans certaines conditions. Les rapports publics indiquent que les vulnérabilités ont été exploitées ensemble dans de véritables attaques contre les appareils SMA6210, SMA7210 et SMA8200v.

Les détails les plus importants concernant CVE-2026-15409 sont qu’il fournit le point d’entrée avant l’authentification, tandis que CVE-2026-15410 est utilisé après l’obtention d’un accès privilégié pour approfondir le contrôle de l’appareil. SonicWall indique que les lignes de firmware affectées incluent 12.4.3-03245 / 03387 / 03434 et 12.5.0-02283 / 02624 / 02800, avec des correctifs publiés dans 12.4.3-03453+ et 12.5.0-02835+.

Analyse CVE-2026-15410 et CVE-2026-15409

D’un point de vue technique, les deux bogues jouent des rôles différents dans la chaîne d’intrusion. CVE-2026-15409 affecte l’interface Appliance Workplace et permet à un attaquant distant non authentifié de forcer l’appareil à effectuer des requêtes vers des emplacements non désirés. CVE-2026-15410 vise ensuite la Console de Gestion des Appareils et peut permettre à un attaquant distant authentifié en tant qu’administrateur d’exécuter des commandes système arbitraires. Dans les attaques observées, les rapports publics disent que les failles ont été enchaînées ensemble plutôt que utilisées isolément.

L’impact opérationnel va au-delà de la compromission initiale de l’appareil. Help Net Security rapporte que les attaquants qui ont exploité les failles ont extrait des identifiants de grande valeur, des bases de données de sessions actives et des configurations de graines d’authentification multi-facteurs TOTP, puis ont utilisé l’appareil comme point d’ancrage furtif pour un mouvement ultérieur. Le même rapport cite également les observations de Rapid7 d’authentifications Active Directory anomales et sans VPN provenant de l’adresse IP interne de l’appareil SMA compromis, indiquant que le dispositif était devenu une porte dérobée non surveillée dans l’infrastructure de répertoires.

Au moment du rapport, la maturité de l’exploitation publique était déjà élevée. Help Net Security dit que Rapid7 a publié une PoC CVE-2026-15409 pour la validation de l’exposition, tandis que SonicWall et les deux rapports de presse ont confirmé l’exploitation dans la nature et noté que le CISA a ajouté les deux failles à son catalogue de Vulnérabilités Exploitées Connues.

Atténuation CVE-2026-15410 et CVE-2026-15409

SonicWall a clairement indiqué que le simple correctif ne suffit pas. Le fournisseur recommande de procéder immédiatement à une mise à niveau, mais aussi de revoir les appareils pour détection de compromission et, si des indicateurs sont présents, de recréer l’image des appareils physiques ou redéployer les appareils virtuels, changer les mots de passe des utilisateurs et des administrateurs, et réinitialiser les jetons TOTP. Ces recommandations reflètent le fait que les attaquants ont peut-être déjà établi une persistance ou ont récolté du matériel d’authentification avant que les défenseurs n’appliquent le firmware corrigé.

La détection pratique de CVE-2026-15409 devrait commencer par les indicateurs publiés par SonicWall dans les journaux et le système de fichiers. Les IOC CVE-2026-15409 les plus notables dans les rapports publics incluent les requêtes dans extraweb_access.log vers /__api__/login ou /__api__/logout renvoyant HTTP 200, requêtes vers /wsproxy avec des paramètres d’hôte suspects renvoyant HTTP 101, entrées dans ctrl-service.log montrant des retours en arrière de correctifs avec des noms de style de traversée de chemin, et des routes inattendues /__api__/login ou /__api__/logout à l’intérieur de /var/lib/unit/conf.json.

Pour détecter l’exposition CVE-2026-15409 et l’activité post-exploitation, les défenseurs devraient combiner la validation du firmware avec un examen médico-légal de ces artefacts et des schémas d’accès aux appareils. Parce que SonicWall dit que les deux failles ont été activement exploitées et ne sont pas uniques à sa plateforme, les organisations utilisant des dispositifs SMA 1000 exposés à Internet devraient traiter les accès suspects, les entrées de routage modifiées, ou les artefacts de retour en arrière comme des signes potentiels de compromission complète de l’appareil plutôt que de simples tentatives d’exploitation échouées.

VÉRIFIER LES DÉTECTIONS DISPONIBLES

Avertissement : Le contenu de détection peut ne pas être disponible pour chaque CVE. Vérifiez la Plateforme SOC Prime pour la couverture actuelle. Si vous ne trouvez pas de détections pertinentes maintenant, veuillez vérifier à une date ultérieure.

 

FAQ

Qu’est-ce que CVE-2026-15410 et CVE-2026-15409 et comment fonctionnent-ils ?

CVE-2026-15409 est une faille SSRF critique dans l’interface Workplace SMA 1000 de SonicWall pouvant être exploitée à distance sans authentification pour obliger l’appareil à envoyer des requêtes vers des emplacements non désirés. CVE-2026-15410 est une faille d’injection de code post-authentification dans la Console de Gestion des Appareils pouvant permettre à un attaquant authentifié de niveau administrateur d’exécuter des commandes système arbitraires. Les rapports publics indiquent que les deux bogues ont été utilisés ensemble dans de véritables attaques.

Quand CVE-2026-15410 et CVE-2026-15409 ont-ils été découverts pour la première fois ?

Les rapports publics ne divulguent pas une date privée de découverte. Ce qui est confirmé, c’est que SonicWall a divulgué publiquement les problèmes et leurs correctifs à la mi-juillet 2026, et a attribué la découverte et le signalement des failles à Adam Babis de SonicWall PSIRT. SonicWall a ensuite également crédité Sean Koessel et Steven Adair de Volexity pour avoir contribué à l’expansion de l’enquête et de la liste des IOC.

Quel est l’impact de CVE-2026-15410 et CVE-2026-15409 sur les systèmes ?

L’impact combiné peut être sévère. Les rapports publics disent que l’exploitation peut conduire à des requêtes non autorisées provenant de l’appareil, l’exécution de commandes arbitraires en tant qu’administrateur, le vol de données d’identification et de session, l’exposition des configurations de graines TOTP, et des mouvements ultérieurs dans l’infrastructure interne en utilisant l’appareil compromis comme une porte dérobée.

CVE-2026-15410 et CVE-2026-15409 peuvent-ils encore m’affecter en 2026 ?

Oui. Les organisations peuvent encore être exposées en 2026 si elles continuent à utiliser des versions de firmware SMA 1000 affectées ou si leurs appareils ont été compromis avant le correctif et n’ont pas fait l’objet d’un examen médicolégal et d’une reconstruction si nécessaire. Les deux failles ont été ajoutées au catalogue KEV de la CISA, soulignant l’urgence.

Comment puis-je me protéger contre CVE-2026-15410 et CVE-2026-15409 ?

Procédez immédiatement à la mise à niveau vers les versions correctrices SonicWall fixées, examinez les journaux et les artefacts de configuration pour détecter les indicateurs publiés, et si une compromission est suspectée, recréez l’image ou redéployez l’appareil, changez les mots de passe et réinitialisez les jetons TOTP. Les propres conseils de SonicWall insistent sur le fait que la remédiation doit inclure à la fois l’application de correctifs et l’évaluation de la compromission.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

More Articles