CVE-2026-15410 및 CVE-2026-15409: 실제로 악용된 SonicWall SMA 1000 제로데이

CVE-2026-15410 및 CVE-2026-15409: 실제로 악용된 SonicWall SMA 1000 제로데이

SOC Prime Team
SOC Prime Team linkedin icon 팔로우

Add to my AI research

SonicWall은 SMA 1000 시리즈 보안 원격 접속 장치에 영향을 미치는 두 개의 적극적으로 악용된 제로데이를 패치했습니다. 문제는 Workplace 인터페이스의 심각한 인증되지 않은 SSRF 결함인 CVE-2026-15409와 Appliance Management Console의 사후 인증 코드 주입 결함인 CVE-2026-15410로, 특정 조건 하에서 관리자 권한으로 임의의 OS 명령 실행을 초래할 수 있습니다. 공개 보고서에 따르면 취약점들은 실제 SMA6210, SMA7210, 및 SMA8200v 장치에 대한 공격에서 함께 악용된 것으로 보고되었습니다.

CVE-2026-15409의 가장 중요한 세부 사항은 인증 전 발판을 제공한다는 점이고, CVE-2026-15410는 장치에 대한 제어를 심화하기 위해 권한 있는 접근을 얻은 후 사용된다는 것입니다. SonicWall에 따르면 영향을 받는 펌웨어 라인은 12.4.3-03245 / 03387 / 03434 및 12.5.0-02283 / 02624 / 02800 등을 포함하며, 수정은 12.4.3-03453+ 및 12.5.0-02835+에서 발표되었습니다.

CVE-2026-15410 및 CVE-2026-15409 분석

무역 관점에서 볼 때, 두 버그는 침투 체인에서 다른 역할을 수행합니다. CVE-2026-15409는 Appliance Workplace 인터페이스에 영향을 주며 인증되지 않은 원격 공격자가 장치를 의도치 않은 위치로 요청을 보내도록 강제할 수 있습니다. 그다음 CVE-2026-15410는 Appliance Management Console을 대상으로 하며, 인증된 원격 공격자가 관리자 권한으로 임의 OS 명령을 실행할 수 있습니다. 관찰된 공격에서는, 공개 보고서에 따르면 결함들이 함께 연결되어 사용되었으며 독립적으로 사용되지 않았습니다.

운영적 영향은 초기 장치 침해를 넘어섭니다. Help Net Security는 공격자들이 결함을 악용하여 고가치 자격 증명, 활성 세션 데이터베이스 및 TOTP 다중 요소 인증 시드 구성을 추출한 다음 장치를 잠재적인 추가 이동의 교묘한 발판으로 사용했다고 보고합니다. 동일한 보고서는 또한 Rapid7이 침해된 SMA 장치의 내부 IP 주소에서 기원한 비정상적인, VPN이 없는 Active Directory 인증을 관찰했다고 인용하며, 이는 장치가 디렉터리 인프라로의 미감시 백도어가 되었음을 나타냅니다.

보고 당시, 공개적 악용 성숙도는 이미 높았습니다. Help Net Security는 Rapid7이 노출 검증을 위한 CVE-2026-15409 PoC를 발표했다고 하며, SonicWall과 두 뉴스 리포트 모두 야생의 악용을 확인하고 CISA가 두 결함을 알려진 악용 취약점 카탈로그에 추가했다고 언급했습니다.

CVE-2026-15410 및 CVE-2026-15409 완화

SonicWall은 패치만으로 충분하지 않다고 명확히 했습니다. 공급업체는 즉시 업그레이드를 권장하나, 침해에 대한 장치 검토 또한 필요하며, 지표가 있는 경우 물리적 장치를 재이미징하거나 가상 장치를 다시 배포하고 사용자 및 관리자 비밀번호 변경 및 TOTP 토큰 재설정을 권장합니다. 이는 수정된 펌웨어를 적용하기 전에 공격자가 이미 지속성을 확립했거나 인증 자료를 수확했을 수 있음을 반영합니다.

실용적인 CVE-2026-15409 탐지는 SonicWall이 공개한 로그 및 파일 시스템 지표로 시작해야 합니다. 공개 보고서에서 가장 주목할만한 CVE-2026-15409 IOC는 /__api__/login 또는 /__api__/logout으로의 HTTP 200 반환 요청이 있는 extraweb_access.log, 의심스러운 호스트 매개변수가 있는 /wsproxy로의 HTTP 101 반환 요청, 핫픽스 롤백을 보여주는 ctrl-service.log 내의 항목, /var/lib/unit/conf.json 내의 예상되지 않은 /__api__/login 또는 /__api__/logout 경로 등을 포함합니다.

CVE-2026-15409 노출 및 사후 악용 활동을 탐지하려면, 방어자는 펌웨어 검증과 이러한 아티팩트 및 장치 접근 패턴에 대한 포렌식 검토를 결합해야 합니다. SonicWall은 두 결함이 적극적으로 악용되었으며 그 플랫폼에만 특유한 것이 아니라고 말했으므로, 인터넷에 노출된 SMA 1000 장치를 운영하는 조직은 의심스러운 접근, 변경된 라우팅 항목 또는 롤백 아티팩트를 단순한 실패한 악용 시도가 아닌 전체 장치 침해의 잠재적 신호로 취급해야 합니다.

사용 가능한 탐지를 확인하십시오.

면책 조항: 모든 CVE에 대한 탐지 컨텐츠가 제공되지 않을 수 있습니다. 현재 적용 범위를 위해 SOC Prime 플랫폼을 확인하십시오. 지금 관련 탐지가 없더라도 나중에 다시 확인하십시오.

 

FAQ

CVE-2026-15410과 CVE-2026-15409는 무엇이며 어떻게 작동하나요?

CVE-2026-15409는 인증 없이 원격으로 장치를 악용하여 의도치 않은 위치로 요청을 보낼 수 있게 하는 SonicWall SMA 1000 Workplace 인터페이스의 심각한 SSRF 결함입니다. CVE-2026-15410은 Appliance Management Console의 사후 인증 코드 주입 결함으로, 인증된 관리자 권한의 공격자가 임의의 운영 체제 명령을 실행할 수 있습니다. 공개 보고서는 이 두 버그가 실제 공격에서 함께 사용되었다고 말합니다.

CVE-2026-15410과 CVE-2026-15409는 언제 처음 발견되었나요?

공개 보고서는 사적인 발견 날짜를 공개하지 않습니다. 확인된 바는 SonicWall이 2026년 7월 중순에 문제와 그 수정 사항을 공개했으며, SonicWall PSIRT의 Adam Babis를 결함의 발견 및 보고자로 인정했습니다. SonicWall은 나중에 Volexity의 Sean Koessel과 Steven Adair에게 조사 확장 및 IOC 목록 확대에 도움을 준 점을 인정했습니다.

시스템에 대한 CVE-2026-15410과 CVE-2026-15409의 영향은 무엇인가요?

결합된 영향은 심각할 수 있습니다. 공개 보고서에 따르면, 악용은 장치에서의 승인되지 않은 요청, 관리자로서의 임의 명령 실행, 자격 증명 및 세션 데이터 탈취, TOTP 시드 구성 노출, 침해된 장치를 백도어로 사용한 내부 인프라로의 추가 이동 등을 초래할 수 있습니다.

2026년에 CVE-2026-15410과 CVE-2026-15409가 여전히 나에게 영향을 미칠 수 있나요?

네. 조직은 영향을 받은 SMA 1000 펌웨어 버전을 계속 실행하거나 장치가 패치되기 전에 침해되었고 필요 시 포렌식 검토 및 재구축되지 않은 경우 2026년에도 여전히 영향을 받을 수 있습니다. 두 결함은 CISA의 KEV 카탈로그에 추가되어 긴급성을 강조합니다.

CVE-2026-15410과 CVE-2026-15409로부터 자신을 보호하려면 어떻게 해야 하나요?

즉시 수정된 SonicWall 핫픽스 버전으로 업그레이드하고, 게시된 지표에 대한 로그 및 구성 아티팩트를 검토하며, 침해가 의심되는 경우 장치를 재이미징 또는 재배포하고, 비밀번호를 회전시키고, TOTP 토큰을 재설정하십시오. SonicWall의 자체 지침은 패치 및 침해 평가 모두를 포함해야 한다고 강조합니다.

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

More Articles