SonicWall alerte sur deux failles zero-day de ses SMA 1000 exploitées activement (CVE-2026-15409, CVE-2026-15410)
SonicWall a publié une alerte urgente après la découverte d'attaquants enchaînant deux failles zero-day de ses boîtiers d'accès distant SMA 1000 — une SSRF non authentifiée notée CVSS 10.0 et une injection de commandes post-authentification —, Rapid7 ayant observé les deux vulnérabilités exploitées de concert contre des appareils exposés sur Internet avant même l'existence d'un correctif.
- Victime
- SonicWall SMA 1000
Le 14 juillet 2026, SonicWall — l'éditeur de sécurité réseau basé à Milpitas, en Californie — a publié une alerte urgente avertissant que deux vulnérabilités jusque-là inconnues de ses boîtiers d'accès distant sécurisé de la gamme SMA 1000 étaient activement exploitées en tant que failles zero-day. Cette alerte faisait suite à un rapport de l'équipe Managed Detection and Response de Rapid7, qui a déclaré avoir observé une exploitation active et ciblée de boîtiers SMA 1000 exposés sur Internet — les deux failles étant utilisées de concert — avant que SonicWall ne dispose d'un correctif.
Les deux failles se complètent. CVE-2026-15409 est une vulnérabilité de type falsification de requête côté serveur (SSRF) dans l'interface Work Place du boîtier, notée au maximum CVSS 10.0, qu'un attaquant distant et non authentifié peut utiliser pour forcer l'appareil à émettre des requêtes vers des destinations non prévues. CVE-2026-15410 est une faille d'injection de code post-authentification dans la console de gestion (Appliance Management Console, AMC), notée CVSS 7.2, qui permet à un attaquant distant authentifié d'exécuter des commandes système arbitraires en tant qu'administrateur dans certaines conditions. Enchaînées, elles offrent à un attaquant un chemin allant d'un accès réseau non authentifié jusqu'à l'exécution de commandes administrateur sur la passerelle qui protège les accès distants d'une organisation.
Produits concernés et correctifs
Les failles touchent les boîtiers SMA 6210, SMA 7210 et SMA 8200v de SonicWall. L'éditeur a diffusé des correctifs dans les versions 12.4.3-03453 et 12.5.0-02835 (et supérieures), exhortant ses clients à mettre à jour immédiatement et à examiner les journaux des appareils à la recherche de signes de compromission. La gamme SMA 100, maintenue séparément, ainsi que les pare-feu de la marque, ne figurent pas parmi les produits concernés par cet avis.
Réaction réglementaire
Le même jour, l'agence américaine de cybersécurité CISA a ajouté les deux CVE à son catalogue des vulnérabilités activement exploitées (KEV), imposant aux agences fédérales civiles de corriger — ou de cesser d'utiliser les appareils concernés — d'ici le 17 juillet 2026, au titre de la directive opérationnelle contraignante 26-04. En tant que passerelles VPN exposées sur Internet, les boîtiers SMA sont une cible récurrente pour les groupes d'intrusion, car un point d'appui sur l'appareil se situe précisément à la frontière entre l'Internet public et le réseau interne d'une organisation. L'exploitation étant confirmée et aucune attribution publique à un acteur nommé n'ayant été établie au moment de la divulgation, la situation restait en cours et les défenseurs étaient invités à appliquer les correctifs sans attendre une fenêtre de maintenance.
Chronologie
L'équipe Managed Detection and Response de Rapid7 indique avoir observé une exploitation zero-day active et ciblée de boîtiers SMA 1000 exposés sur Internet, les deux failles étant utilisées de concert, avant toute divulgation publique.
SonicWall publie un avis urgent pour CVE-2026-15409 et CVE-2026-15410, confirmant l'exploitation active et diffusant les correctifs 12.4.3-03453 et 12.5.0-02835.
La CISA ajoute les deux CVE à son catalogue des vulnérabilités activement exploitées, laissant aux agences fédérales civiles jusqu'au 17 juillet 2026 pour corriger ou cesser d'utiliser les appareils au titre de la directive opérationnelle contraignante 26-04.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/
- helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/07/14/sonicwall-sma-attacks-via-cve-2026-15409-cve-2026-15410/
- securityweek.comhttps://www.securityweek.com/sonicwall-issues-urgent-sma-patch-warning-for-two-zero-day-exploits/
- rapid7.comhttps://www.rapid7.com/blog/post/etr-rapid7-mdr-team-discovers-new-sonicwall-sma1000-zero-days-being-actively-exploited-cve-2026-15409-cve-2026-15410/
- thehackernews.comhttps://thehackernews.com/2026/07/two-sonicwall-sma-1000-zero-days.html
- cisa.govhttps://www.cisa.gov/news-events/alerts/2026/07/14/cisa-adds-four-known-exploited-vulnerabilities-catalog