SonicWall ha confirmado la explotación activa de dos vulnerabilidades zero-day en el equipo SMA1000. Una de ellas tiene calificación crítica y no requiere autenticación, mientras que la otra permite inyección de código a usuarios autenticados. La empresa ha puesto a disposición hotfixes para ambas vulnerabilidades, y las agencias federales estadounidenses tienen plazo hasta el 17 de julio de 2026 para aplicar las correcciones o dejar de utilizar los equipos afectados.
SonicWall ha activado protocolos de emergencia tras detectar intrusiones reales que explotan dos vulnerabilidades zero-day en la serie SMA1000, un dispositivo perimetral que proporciona acceso remoto a redes corporativas. La situación es grave porque no se trata de pruebas teóricas de concepto, sino de ataques activos en curso que representan un riesgo significativo para cualquier organización que tenga estos equipos expuestos en Internet.
La primera vulnerabilidad, CVE-2026-15409, presenta una puntuación CVSS de 10.0 y consiste en una petición falsificada de lado del servidor sin autenticación en la interfaz SMA1000 Appliance Work Place. Esto permite que un atacante remoto obligue al dispositivo a realizar solicitudes hacia destinos no autorizados, facilitando ataques que pueden derivar en acceso a servicios internos o encadenamiento con otros vectores de ataque.
La segunda vulnerabilidad, CVE-2026-15410, tiene una puntuación CVSS de 7.2 e impacta la consola de gestión SMA1000 Appliance Management Console. Permite inyección de código para usuarios administradores autenticados, habilitando la ejecución de comandos del sistema operativo. En ataques sofisticados, este tipo de fallo se utiliza para mantener el control del equipo, establecer persistencia o modificar su configuración.
Los modelos identificados como vulnerables incluyen SMA6210, SMA7210 y SMA8200v. Las versiones afectadas comprenden platform hotfix 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 y 12.5.0-02800. SonicWall proporciona las versiones corregidas 12.4.3-03453 y 12.5.0-02835, además de posteriores. La empresa indica que no existen mitigaciones alternativas que sustituyan la instalación de estas correcciones.
Se han documentado ataques que podrían combinar la explotación de ambas vulnerabilidades, aunque aún no está totalmente confirmado por todas las fuentes. No obstante, la recomendación operativa es clara: aplicar parches no es suficiente si existe sospecha de acceso previo. Los indicadores de compromiso incluyen peticiones en extraweb_access.log a /api/login o /api/logout con respuesta HTTP 200, llamadas a /wsproxy con parámetros host sospechosos mostrando HTTP 101, posibles reversiones de hotfixes con nombres relacionados a traversal en ctrl-service.log, y rutas anómalas para /api/login o /api/logout en /var/lib/unit/conf.json.
CISA ha incorporado CVE-2026-15409 y CVE-2026-15410 al catálogo de vulnerabilidades conocidas y explotadas, estableciendo el 17 de julio de 2026 como fecha límite para que las agencias federales aseguren los sistemas comprometidos o los retiren si no pueden aplicar la corrección. Es importante aclarar que estas vulnerabilidades no afectan a la solución SSL VPN de los firewalls SonicWall ni a la línea SonicWall SMA 100 Series.
Las organizaciones deben ejecutar de forma inmediata una actualización a versión 12.4.3-03453 o 12.5.0-02835 en cualquier SMA1000 accesible desde Internet, realizar un inventario de equipos SMA6210, SMA7210 y SMA8200v priorizando aquellos con mayor exposición administrativa, y revisar registros y configuración en busca de indicadores de compromiso, preservando evidencias para análisis forense si es necesario. En caso de detectarse signales de intrusión, se recomienda reimaginar los appliances físicos o redesplegar los virtuales antes de restaurar la operación normal, rotar las credenciales de usuarios y administradores, y restablecer tokens TOTP.
Como medidas de contención, muchas organizaciones aislarán temporalmente el appliance de la red de gestión y limitarán el acceso administrativo a redes dedicadas y bastiones de administración. Conviene validar que no se hayan aplicado reversiones no autorizadas de hotfixes y bloquear cualquier degradación de versión excepto bajo control formal de cambios. En monitorización, es recomendable implementar detecciones específicas para /wsproxy con parámetros host anómalos y para accesos a /api/login y /api/logout, ya que estos patrones figuran entre los más útiles para identificar actividad maliciosa en estos equipos.
Con Información de unaaldia.hispasec.com
