CVE-2026-15410 e CVE-2026-15409: Zero-Days do SonicWall SMA 1000 Explorados em Ataques Ativos

CVE-2026-15410 e CVE-2026-15409: Zero-Days do SonicWall SMA 1000 Explorados em Ataques Ativos

SOC Prime Team
SOC Prime Team linkedin icon Seguir

Add to my AI research

A SonicWall corrigiu dois zero-days ativamente explorados que afetam os dispositivos SMA 1000 Series de acesso remoto seguro. Os problemas são CVE-2026-15409, uma falha crítica de SSRF não autenticada na interface Workplace, e CVE-2026-15410, uma falha de injeção de código pós-autenticação no Console de Gestão do Appliance que pode levar à execução arbitrária de comandos do SO como administrador sob certas condições. Relatórios públicos dizem que as vulnerabilidades foram exploradas juntas em ataques reais contra os dispositivos SMA6210, SMA7210 e SMA8200v.

Os detalhes mais importantes para o CVE-2026-15409 são que ele fornece a base pré-autenticação, enquanto o CVE-2026-15410 é usado após o acesso privilegiado ser obtido para aprofundar o controle sobre o dispositivo. A SonicWall diz que as linhas de firmware afetadas incluem 12.4.3-03245 / 03387 / 03434 e 12.5.0-02283 / 02624 / 02800, com correções lançadas nas versões 12.4.3-03453+ e 12.5.0-02835+.

Análise de CVE-2026-15410 e CVE-2026-15409

De uma perspectiva de tática, os dois bugs desempenham papéis diferentes na cadeia de intrusão. O CVE-2026-15409 afeta a interface Workplace do Appliance e permite que um atacante remoto não autenticado force o dispositivo a fazer solicitações para locais não intencionados. Em seguida, o CVE-2026-15410 tem como alvo o Console de Gestão do Appliance e pode permitir que um atacante remoto autenticado como administrador execute comandos arbitrários do sistema operacional. Em ataques observados, relatórios públicos dizem que as falhas foram encadeadas em vez de usadas isoladamente.

O impacto operacional vai além da comprometimento inicial do dispositivo. O Help Net Security relata que atacantes que exploraram as falhas extraíram credenciais de alto valor, bancos de dados de sessões ativas e configurações de sementes de autenticação multifatorial TOTP, depois usaram o dispositivo como uma base furtiva para movimentos adicionais. O mesmo relato também cita observações da Rapid7 de autenticações anômalas de Active Directory, sem uso de VPN, originando-se do endereço IP interno do dispositivo SMA comprometido, indicando que o dispositivo se tornou uma porta dos fundos não monitorada para a infraestrutura do diretório.

No momento do relato, a maturidade da exploração pública já era alta. O Help Net Security diz que a Rapid7 lançou uma PoC do CVE-2026-15409 para validação de exposição, enquanto a SonicWall e ambos os relatos de notícias confirmaram a exploração em campo e observaram que a CISA adicionou as duas falhas ao catálogo de Vulnerabilidades Conhecidas Exploradas.

Mitigação de CVE-2026-15410 e CVE-2026-15409

A SonicWall deixou claro que apenas aplicar o patch não é suficiente. O fornecedor recomenda a atualização imediata, mas também revisar os dispositivos quanto ao comprometimento e, se houver indicadores, reimaginar dispositivos físicos ou reimplantar dispositivos virtuais, alterar senhas de usuários e administradores e redefinir tokens TOTP. Essa orientação reflete o fato de que os atacantes podem já ter estabelecido persistência ou coletado material de autenticação antes que os defensores apliquem o firmware corrigido.

A detecção prática do CVE-2026-15409 deve começar com os indicadores de log e sistema de arquivos publicados pela SonicWall. Os IOCs mais notáveis do CVE-2026-15409 em relatórios públicos incluem solicitações no extraweb_access.log para /__api__/login ou /__api__/logout retornando HTTP 200, solicitações para /wsproxy com parâmetros de host suspeitos retornando HTTP 101, entradas no ctrl-service.log mostrando reversões de correções com nomes no estilo de traversal de diretório, e rotas inesperadas /__api__/login ou /__api__/logout dentro de /var/lib/unit/conf.json.

Para detectar a exposição e atividades pós-exploração do CVE-2026-15409, os defensores devem combinar a validação do firmware com revisão forense desses artefatos e padrões de acesso ao dispositivo. Como a SonicWall diz que as duas falhas foram ativamente exploradas e não são exclusivas de sua plataforma, organizações que executam dispositivos SMA 1000 voltados para a internet devem tratar acessos suspeitos, entradas de roteamento alteradas ou artefatos de reversão como potenciais sinais de comprometimento total do dispositivo, em vez de simples tentativas de exploração fracassadas.

VERIFICAR DETECÇÕES DISPONÍVEIS

Aviso Legal: O conteúdo de detecção pode não estar disponível para todos os CVEs. Verifique a Plataforma SOC Prime para cobertura atual. Se você não encontrar detecções relevantes agora, por favor, verifique mais tarde.

 

FAQ

O que são CVE-2026-15410 e CVE-2026-15409 e como funcionam?

CVE-2026-15409 é uma falha crítica de SSRF na interface Workplace do SonicWall SMA 1000 que pode ser explorada remotamente sem autenticação para fazer o dispositivo enviar solicitações para localizações não intencionadas. CVE-2026-15410 é uma falha de injeção de código pós-autenticação no Console de Gestão do Appliance que pode permitir que um atacante autenticado em nível de administrador execute comandos arbitrários do sistema operacional. Relatórios públicos dizem que os dois bugs foram usados juntos em ataques reais.

Quando CVE-2026-15410 e CVE-2026-15409 foram descobertos pela primeira vez?

Os relatos públicos não divulgam uma data de descoberta privada. O que está confirmado é que a SonicWall divulgou publicamente os problemas e suas correções em meados de julho de 2026, e creditou Adam Babis da SonicWall PSIRT pela descoberta e relato das falhas. Posteriormente, a SonicWall também creditou Sean Koessel e Steven Adair da Volexity por ajudar a expandir a investigação e a lista de IOCs.

Qual é o impacto de CVE-2026-15410 e CVE-2026-15409 nos sistemas?

O impacto combinado pode ser severo. Relatórios públicos dizem que a exploração pode levar a solicitações não autorizadas do dispositivo, execução arbitrária de comandos como administrador, roubo de credenciais e dados de sessão, exposição de configurações de sementes TOTP, e movimento subsequente para dentro da infraestrutura interna usando o dispositivo comprometido como uma porta dos fundos.

CVE-2026-15410 e CVE-2026-15409 ainda podem me afetar em 2026?

Sim. As organizações podem ainda estar expostas em 2026 se continuarem a executar versões de firmware SMA 1000 afetadas ou se seus dispositivos foram comprometidos antes da aplicação do patch e não foram revisados e reconstruídos forensemente onde necessário. Ambas as falhas foram adicionadas ao catálogo KEV da CISA, ressaltando a urgência.

Como posso me proteger do CVE-2026-15410 e CVE-2026-15409?

Atualize imediatamente para as versões corrigidas do hotfix SonicWall, revise os logs e artefatos de configuração para os indicadores publicados e, se houver suspeita de comprometimento, reimagine ou redistribua o dispositivo, rotacione as senhas e redefina os tokens TOTP. A própria orientação da SonicWall destaca que a remediação deve incluir tanto a aplicação do patch quanto a avaliação do comprometimento.

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

More Articles