SonicWall виправила дві активно експлуатовані вразливості нульового дня, що впливають на пристрої безпечного віддаленого доступу серії SMA 1000. Проблеми це CVE-2026-15409, критична проблема SSRF без автентифікації у інтерфейсі Workplace, і CVE-2026-15410, проблема ін’єкції коду після автентифікації в консоль управління пристроєм, яка може призвести до виконання довільних команд ОС як адміністратора за певних умов. Громадські звіти кажуть, що вразливості використовувалися разом у реальних атаках проти пристроїв SMA6210, SMA7210 і SMA8200v.
Найважливіші деталі для CVE-2026-15409 полягають в тому, що вона забезпечує точку опори до автентифікації, тоді як CVE-2026-15410 використовується після отримання привілейованого доступу для поглиблення контролю над пристроєм. SonicWall стверджує, що вразливі лінії мікропрограми включають 12.4.3-03245 / 03387 / 03434 і 12.5.0-02283 / 02624 / 02800, а виправлення було випущено в 12.4.3-03453+ і 12.5.0-02835+.
Аналіз CVE-2026-15410 і CVE-2026-15409
З точки зору практичної реалізації, ці дві помилки відіграють різні ролі в ланцюжку вторгнення. CVE-2026-15409 впливає на інтерфейс Workplace пристрою та дозволяє віддаленому зловмиснику без автентифікації змусити пристрій робити запити до ненавмисних місць. CVE-2026-15410 потім націлюється на консоль управління пристроєм і може дозволити віддаленому зловмиснику, автентифікованому як адміністратор, виконувати довільні команди операційної системи. У спостережуваних атаках громадські звіти кажуть, що ці вразливості були об’єднані, а не використані ізольовано.
Операційний вплив виходить за рамки початкового компрометації пристрою. Доповіді Help Net Security стверджують, що зловмисники, які експлуатували помилки, витягли високовартісні облікові дані, бази даних активних сеансів і конфігурації TOTP для двофакторної автентифікації, а потім використовували пристрій як приховану точку опори для подальшого руху. Ті самі звіти також цитують спостереження Rapid7 про аномальні автентифікації Active Directory без використання VPN, які походять з внутрішньої IP-адреси скомпрометованого пристрою SMA, що свідчить про те, що пристрій став немоніторованими входом у директо виробничої структури.
На момент звітування, ступінь публічної експлуатації вже була високою. Help Net Security стверджує, що Rapid7 випустила PoC для CVE-2026-15409 для перевірки вразливості, у той час як SonicWall і обидва новинні репортажі підтвердили експлуатацію ‘в польових умовах’ і зазначили, що CISA додала ці дві вразливості в каталог ‘Відомих експлуатованих вразливостей’.
Міграція CVE-2026-15410 і CVE-2026-15409
SonicWall чітко заявила, що одного виправлення недостатньо. Виробник рекомендує негайно оновити, а також переглянути пристрої на предмет компрометації. Якщо наявні ознаки, пристрої необхідно перевстановити фізично або перевпровадити віртуально, змінити паролі користувачів та адміністраторів, а також скинути токени TOTP. Така порада відображає факт, що зловмисники вже могли встановити стійкість або зібрати автентифікаційні матеріали ще до того, як захисники застосують виправлену мікропрограму.
Практичне виявлення CVE-2026-15409 слід розпочати з опублікованих SonicWall логів та індикаторів файлової системи. Найбільш примітними CVE-2026-15409 IOC в громадських звітах є запити в extraweb_access.log до /__api__/login або /__api__/logout, які повертають HTTP 200, запити до /wsproxy з підозрілими параметрами хосту, які повертають HTTP 101, записи в ctrl-service.log, що показують відкотики оновлень гарячих виправлень з іменами в стилі обходу шляху, і неочікувані маршрути /__api__/login або /__api__/logout всередині /var/lib/unit/conf.json.
Для виявлення впливу CVE-2026-15409 та активності після експлуатації, захисники повинні поєднати перевірку мікропрограм з судовим оглядом цих артефактів та моделей доступу до пристрою. Оскільки SonicWall стверджує, що ці дві вразливості були активно експлуатовані та не унікальні для його платформи, організації, що використовують пристрої SMA 1000, розміщені у мережі, повинні вважати підозрілий доступ, змінені маршрути або артефакти відкотів потенційними ознаками повного компрометації пристрою, а не просто невдалими спробами експлуатації.
Відмова від відповідальності: Контент виявлення може бути недоступний для кожного CVE. Перевірте платформу SOC Prime на предмет актуального покриття. Якщо зараз не знаходите відповідних виявлень, будь ласка, перевірте пізніше.
FAQ
Що таке CVE-2026-15410 і CVE-2026-15409 і як вони працюють?
CVE-2026-15409 – це критична проблема SSRF у інтерфейсі Workplace SonicWall SMA 1000, яка може бути експлуатована віддалено без автентифікації, змушуючи пристрій надсилати запити до ненавмисних місць. CVE-2026-15410 – це проблема ін’єкції коду після автентифікації в консолі управління пристроєм, яка може дозволити атакуючому з рівнем адміністратора виконувати довільні команди операційної системи. Громадські звіти стверджують, що ці дві вразливості були використані разом у реальних атаках.
Коли вперше були виявлені CVE-2026-15410 та CVE-2026-15409?
Громадські звіти не розкривають приватну дату виявлення. Підтверджено, що SonicWall публічно оприлюднив проблеми та їх рішення в середині липня 2026 року, зазначивши Адама Бабіша з SonicWall PSIRT як того, хто виявив та повідомив про проблеми. Пізніше SonicWall також подякував Шону Кесселу та Стівену Адеру з Volexity за допомогу у розширенні розслідування та списку IOC.
Який вплив мають CVE-2026-15410 та CVE-2026-15409 на системи?
Комбінований вплив може бути серйозним. Громадські звіти кажуть, що експлуатація може привести до несанкціонованих запитів з пристрою, виконання довільних команд як адміністратора, крадіжки облікових даних та даних сеансів, розкриття конфігураційних файлів TOTP та подальшого проникнення у внутрішню інфраструктуру, використовуючи скомпрометований пристрій як задні двері.
Чи можуть CVE-2026-15410 и CVE-2026-15409 все ще впливати на мене у 2026 році?
Так. Організації можуть все ще бути під загрозою у 2026 році, якщо вони продовжують використовувати вразливі версії мікропрограми SMA 1000 або якщо їх пристрої були скомпрометовані до виправлення і не були судово оглянуті і перебудовані, де це потрібно. Обидві вразливості були додані до каталогу KEV CISA, підкреслюючи терміновість.
Як я можу захистити себе від CVE-2026-15410 та CVE-2026-15409?
Негайно оновіть до виправлених версій SonicWall, перегляньте логи та артефакти конфігурації на наявність опублікованих індикаторів, і якщо є підозра на компрометацію, перевстановіть або перевпровадіть пристрій, змініть паролі та скиньте токени TOTP. Власне керівництво SonicWall підкреслює, що усунення має включати як оновлення, так і оцінку компрометації.