Компания SonicWall выпустила внеплановое обновление безопасности для устройств серии SMA1000, закрывающее две уязвимости, одна из которых уже используется в реальных атаках. Проблемы получили идентификаторы CVE-2026-15409 и CVE-2026-15410; максимальный балл по шкале CVSS для первой составляет 10,0. Уязвимости затрагивают модели 6210, 7210 и 8200v под управлением определённых версий прошивки и позволяют удалённо выполнить код или обойти ограничения безопасности.
Детали уязвимостей
Как сообщается в бюллетене безопасности SNWLID-2026-0008, опубликованном 14 июля 2026 года, уязвимость CVE-2026-15409 обнаружена в интерфейсе Appliance Work Place. Она относится к классу Server-Side Request Forgery (подделка запросов на стороне сервера, SSRF). Злоумышленник, не имеющий учётных данных, может заставить устройство отправлять HTTP-запросы на произвольные внешние адреса. В сочетании с другими недостатками это способно привести к компрометации внутренних сетевых ресурсов, доступу к закрытым сервисам или выполнению команд.
Вторая уязвимость, CVE-2026-15410, связана с внедрением кода (Code Injection) в консоли управления Appliance Management Console. Для её эксплуатации требуется аутентификация с правами администратора, однако в определённых условиях атакующий может добиться выполнения произвольных команд операционной системы на уровне устройства. Несмотря на более низкий балл CVSS (7,2), эта проблема представляет серьёзную угрозу для корпоративных сетей, где администраторы часто имеют широкие привилегии.
В SonicWall подчеркивают, что обе уязвимости активно эксплуатируются в дикой природе. Исследователь Адам Бабис из команды PSIRT компании выявил их в ходе внутреннего аудита, а специалисты Volexity Шон Козел и Стивен Адер помогли расширить список индикаторов компрометации. В официальном бюллетене приводятся признаки, по которым можно обнаружить следы атак: подозрительные запросы к путям "/__api__/login" или "/__api__/logout" с HTTP статусом 200, обращения к "/wsproxy" с необычными параметрами host, а также записи об откате горячих исправлений (hotfix) с указанием обходных путей в файловой системе. Кроме того, в конфигурации "/var/lib/unit/conf.json" могут появляться маршруты, отсутствующие в легитимной версии.
Производитель уточняет, что данные уязвимости не затрагивают SSL-VPN на межсетевых экранах SonicWall и продукты линейки SMA 100. Под угрозой находятся только устройства серии SMA1000 с версиями прошивки 12.4.3‑03245, 12.4.3‑03387, 12.4.3‑03434 (как платформенные исправления) и 12.5.0‑02283, 12.5.0‑02624, 12.5.0‑02800. Выпущены исправления 12.4.3‑03453 и 12.5.0‑02835 соответственно.
Клиентам настоятельно рекомендуется немедленно обновить устройства до последних версий, которые доступны для загрузки на портале mysonicwall.com. В качестве дополнительных мер SonicWall советует провести тщательный судебно-медицинский анализ системы на предмет индикаторов компрометации. Если следы атаки обнаружены, компания предлагает переустановить образ (для аппаратных моделей) или повторно развернуть виртуальное устройство, сменить пароли всех пользователей и администраторов, а также сбросить TOTP-токены.
Это уже не первый случай активной эксплуатации уязвимостей в корпоративных шлюзах и VPN-устройствах, которые традиционно становятся приоритетной целью для злоумышленников из-за своего положения на периметре сети. Высокий балл CVSS для SSRF-проблемы и подтверждённые атаки в реальном времени делают установку обновлений критически важной задачей для ИБ-подразделений организаций, использующих оборудование SMA1000.
Ссылки
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2026-0008
- https://www.cve.org/CVERecord?id=CVE-2026-15409
- https://www.cve.org/CVERecord?id=CVE-2026-15410