SonicWallのSMAアプライアンスがゼロデイ攻撃の標的に(CVE-2026-15409、CVE-2026-15410)

SonicWallは、同社のSecure Mobile Access(SMA)1000シリーズアプライアンスに影響を及ぼす、実際に悪用されている2件の脆弱性(CVE-2026-15409CVE-2026-15410)を修正しました。顧客企業に対しては、修正済みのファームウェアバージョンへのアップグレードと、侵害の痕跡がないかの確認を呼びかけています。

Image

該当する侵害の痕跡がシステム上に確認された場合、同社はアプライアンスの再イメージ化(物理機器の場合)または再デプロイ(仮想機器の場合)を行い、ユーザーおよび管理者のパスワードを変更し、TOTPトークンをリセットするよう推奨しています。

脆弱性の内容

SonicWall SMA 1000シリーズアプライアンスは、中堅・大企業、多国籍企業、政府機関、マネージドセキュリティサービスプロバイダー向けに設計されたセキュアリモートアクセス(SSL VPN)ゲートウェイです。

CVE-2026-15409は、SMA1000アプライアンスのWork Placeインターフェースに存在する重大度クリティカルのサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、認証を経ていないリモートの攻撃者が「アプライアンスに意図しない宛先へのリクエストを送信させる」ことを可能にする恐れがあります。

SMA1000アプライアンス管理コンソールに存在する重大度Highのコードインジェクションの脆弱性(CVE-2026-15410)は、管理者として認証済みのリモート攻撃者が任意のOSコマンドを実行し、リモートコード実行を達成することを可能にする恐れがあります。

これまでに確認された攻撃では、この2件の脆弱性が組み合わせて悪用されています。

「これらの脆弱性が実際に悪用されていること、そしてSonicWallに固有のものではないことを確認しています」と同社の広報担当者は取材に対して述べ、発見後、同社が問題を調査し、ファームウェアのパッチを開発・公開したうえで、影響を受ける顧客に通知したことを明らかにしました。

SonicWallはセキュリティアドバイザリの公開に先立ち、顧客に対して事前の警告を送付し、2026年7月14日に自社サイトで公開される前に、SonicWallサポートに連絡してホットフィックス(v12.4.3-03453および12.5.0-02835)を入手するよう呼びかけました。

また同社は、影響を受けた顧客に代わって実行できる解決支援スクリプトも開発しており、緩和策の対応はすでに進行中であると、広報担当者は付け加えました。「当社のサポートチームは、不審な活動が確認された事例について、個別に顧客への対応にあたっています」

パッチ適用だけでは不十分

SonicWallのSMAアプライアンスやファイアウォールは攻撃者に狙われることが多く、時にはゼロデイ悪用され、また別の時には古い既知の脆弱性を突かれることもあります。

CVE-2026-15409およびCVE-2026-15410は、SonicWallのSMA6210、SMA7210、SMA8200vの各アプライアンスに影響します。影響を受けるファームウェア(platform-hotfix)バージョンは以下の通りです。

  • 12.4.3-03245
  • 12.4.3-03387
  • 12.4.3-03434
  • 12.5.0-02283
  • 12.5.0-02624
  • 12.5.0-02800

「顧客の皆様には、パッチ適用だけでは不十分であることをご理解いただくことが重要です。アップデートを適用した後も、侵害の痕跡がないかログを確認し、当社のKB記事に記載されているガイダンスに厳密に従うことを強くお勧めします」と広報担当者は強調しました。

この2件の脆弱性の発見・報告には、SonicWall PSIRTのAdam Babis氏が貢献したとされています。

翻訳元: https://www.helpnetsecurity.com/2026/07/14/sonicwall-sma-attacks-via-cve-2026-15409-cve-2026-15410/

ソース: helpnetsecurity.com