SonicWallは緊急のセキュリティアドバイザリ(SNWLID-2026-0008)を発表し、同社のSMA1000シリーズアプライアンスに影響する2件の深刻な脆弱性が実環境で悪用されていることを確認しました。
CVE-2026-15409およびCVE-2026-15410として追跡されているこれらの脆弱性は、攻撃者が認証不要のSSRFの不具合と、認証後のコードインジェクションの欠陥を連鎖させることで、対象デバイス上での完全なリモートコード実行を達成できてしまうというものです。
CVE-2026-15409は、SMA1000のWork Placeインターフェースに存在する最大深刻度のサーバーサイドリクエストフォージェリ(SSRF)脆弱性(CWE-918)です。認証もユーザー操作も必要とせず、ネットワーク経由でリモートからトリガーできます。
攻撃に成功すると、アプライアンスを操って任意の内部または外部の宛先にリクエストを発行させることが可能になり、ネットワークセグメンテーション制御を事実上回避できてしまいます。
CVE-2026-15410は、管理コンソール(AMC)におけるコードインジェクション脆弱性(CWE-94)で、深刻度は7.2(高)と評価されています。
管理者レベルの認証が必要ではあるものの、特定の条件下では、認証済みの攻撃者が基盤システム上で任意のOSコマンドを実行できてしまいます。
Sean Koessel氏とSteven Adair氏は、この2つの脆弱性が危険なエクスプロイトチェーンを形成していると指摘しています。SSRFによって初期の足がかりや資格情報の漏えいが得られ、攻撃者はそれを足がかりにAMCへ到達し、コードインジェクションの欠陥をトリガーしてシステム全体を完全に侵害するというものです。
この脆弱性は、ファームウェアバージョン12.4.3-03245から12.4.3-03434、および12.5.0-02283から12.5.0-02800を実行しているSMA1000モデル6210、7210、8200vに影響します。なお、SonicWallファイアウォールのSSL-VPNおよびSMA 100シリーズは影響を受けません。
SonicWallは顧客に対し、mysonicwall.comで提供されている修正済みプラットフォームのホットフィックスバージョン12.4.3-03453または12.5.0-02835、あるいはそれ以降のバージョンへ直ちにアップグレードするよう強く求めています。
また、システムに問題がないと判断する前に、上記で挙げた侵害の痕跡(IOC)について徹底したフォレンジック調査を実施することも推奨しています。
侵害の痕跡が見つかった場合、SonicWallは対象アプライアンスの再イメージ化または再展開、全ユーザー・管理者の資格情報のローテーション、そして環境全体にわたるTOTPトークンのリセットを推奨しています。
Give your SOC the intelligence it needs to act with confidence.
Explore ANY.RUN Threat Intelligence Feeds to reduce noise and improve operational efficiency.
翻訳元: https://cyberpress.org/sonicwall-sma1000-flaws/