• 2 min de lectura
SonicWall dice que se están explotando zero-days en SMA1000
SonicWall ha parcheado dos fallos del SMA1000 explotados activamente, incluido un error SSRF con CVSS 10.0, y dice que los clientes deben actualizar inmediatamente.

Imagen: BleepingComputer
SonicWall advierte a los clientes que parcheen los appliances SMA1000 de inmediato después de confirmar la explotación activa de cero días de dos vulnerabilidades: CVE-2026-15409 y CVE-2026-15410.
CVE-2026-15409 es una vulnerabilidad crítica CVSS 10.0 de server-side request forgery (SSRF) en la interfaz Work Place del appliance SMA1000. SonicWall dice que permite a un atacante remoto no autenticado forzar a un appliance a enviar solicitudes a ubicaciones no previstas. CVE-2026-15410 es un error de inyección de código posterior a la autenticación de alta severidad (CVSS 7.2) en la consola de gestión del appliance SMA1000 que podría permitir a un administrador remoto autenticado ejecutar comandos arbitrarios del sistema operativo.
Aunque CVE-2026-15410 requiere privilegios de administrador, SonicWall asignó al aviso una puntuación CVSS global de 10.0. La empresa dijo que investigó múltiples incidentes y verificó que ambas fallas están siendo explotadas en entornos reales.
SonicWall PSIRT ha investigado múltiples casos que indican la explotación activa de las vulnerabilidades descritas en este aviso. Se insta encarecidamente a los clientes a actualizar a la versión con hotfix lo antes posible para remediar estas vulnerabilidades
SonicWall no ha dicho si los atacantes están encadenando los dos fallos. Según el aviso, los productos afectados son los modelos SMA1000 6210, 7210 y 8200v que ejecutan estas versiones platform-hotfix:
- 12.4.3-03245
- 12.4.3-03387
- 12.4.3-03434
- 12.5.0-02283
- 12.5.0-02624
- 12.5.0-02800
Las correcciones están disponibles en 12.4.3-03453 y 12.5.0-02835, y en versiones posteriores. SonicWall dijo que las fallas no afectan a SSL-VPN en los firewalls de SonicWall ni a la serie SMA 100.

Recomendado
Anthropic descubre que Claude Code se usó en un ataque mayormente automatizado
La compañía también publicó indicadores de compromiso que los administradores deben comprobar, incluyendo:
- Solicitudes en extraweb_access.log a /__api__/login o /__api__/logout con estado HTTP 200
- Solicitudes en extraweb_access.log a /wsproxy con parámetros de host sospechosos y estado HTTP 101
- Menciones en ctrl-service.log de reversiones del hotfix con nombres que muestran travesía de directorios
- /var/lib/unit/conf.json que contiene rutas para /__api__/login o /__api__/logout, que SonicWall dice que no existen en configuraciones legítimas
Si se detecta compromiso, SonicWall recomienda reinstalar la imagen en los appliances físicos o volver a desplegar los virtuales, cambiar todas las contraseñas de usuarios y administradores y restablecer los tokens TOTP. La compañía dijo que no existen soluciones alternativas ni mitigaciones más allá de instalar los hotfixes.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ha añadido ambas fallas a su catálogo de Vulnerabilidades Conocidas Explotadas. Las agencias federales tienen hasta el 17 de julio de 2026 para asegurar los sistemas afectados bajo la Directiva Operativa Vinculante 26-04 o dejar de usar el producto si no pueden aplicar mitigaciones.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


