SonicWall ha advertido sobre la explotación activa de dos vulnerabilidades de día cero que afectan a los dispositivos de la serie Secure Mobile Access (SMA) 1000, una de las cuales podría explotarse para lograr la ejecución de comandos arbitrarios.
Las vulnerabilidades se enumeran a continuación:
- CVE-2026-15409 (Puntuación CVSS: 10,0): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que un atacante remoto no autenticado podría aprovechar para provocar que el dispositivo realice solicitudes a una ubicación no deseada.
- CVE-2026-15410 (Puntuación CVSS: 7,2): una vulnerabilidad de inyección de código posterior a la autenticación basada en Appliance Management Console (AMC) que un atacante remoto autenticado podría aprovechar para ejecutar comandos arbitrarios del sistema operativo como administrador bajo ciertas condiciones.
SonicWall dijo que ha “investigado múltiples casos que indican la explotación activa de las vulnerabilidades”, instando a los clientes a aplicar las correcciones lo antes posible. Los parches están disponibles en las siguientes versiones:
- 12.4.3-03453 (plataforma-hotfix) y versiones superiores
- 12.5.0-02835 (plataforma-revisión) y versiones superiores
También se insta a los usuarios a realizar un análisis forense exhaustivo del sistema para determinar la presencia de cualquier indicador de compromiso (IoC) asociado con la explotación.
- Si en extraweb_access.log se mencionan solicitudes a /__api__/login o /__api__/logout con estado http 200
- Si en extraweb_access.log se mencionan solicitudes a /wsproxy con parámetros de host sospechosos con estado http 101
- Si en ctrl-service.log se mencionan reversiones de revisiones con nombres de recorrido de ruta
- Si /var/lib/unit/conf.json contiene rutas para /__api__/login o /__api__/logout (estos URI no existen en la configuración legítima)
Si uno de estos indicadores está presente, se recomienda volver a crear imágenes de los dispositivos físicos o implementar dispositivos virtuales, cambiar las contraseñas de usuario y administrador y restablecer los tokens de contraseña de un solo uso basados en el tiempo.
A Adam Babis, del equipo de respuesta a incidentes de seguridad de productos (PSIRT) de SonicWall, se le atribuye el mérito de descubrir e informar las fallas. SonicWall también reconoció las contribuciones de Sean Koessel y Steven Adair de Volexity para ayudar a avanzar en la investigación interna e identificar un IoC adicional.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar las dos fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 17 de julio de 2026.