ハッカーらが、SonicWall SMA 1000シリーズのリモートアクセスアプライアンスに存在する2件のゼロデイ脆弱性を積極的に悪用しています。攻撃者は、深刻度の高いサーバーサイドリクエストフォージェリ(SSRF)の欠陥とローカルコードインジェクションの不具合を連鎖させ、root権限でコマンドを実行しています。
脅威インテリジェンスレポート
Rapid7のManaged Detection and Responseチームは、SonicWallがこれらの脆弱性を2026年7月14日に公表する前に、標的型攻撃を検知していました。
これらの脆弱性はCVE-2026-15409およびCVE-2026-15410として追跡されており、その後CISAの既知の悪用済み脆弱性(KEV)カタログにも追加されました。これは、影響を受ける組織が公開システムに一刻も早くパッチを適用する必要性を浮き彫りにしています。
SonicWall SMA1000のゼロデイ脆弱性
CVE-2026-15409はCVSSスコア10.0を記録しており、SonicWall WorkPlaceの/wsproxyエンドポイント(通常はポート443で提供)を通じて外部に露出しているWebSocketプロキシコンポーネントに影響します。
この脆弱性により、認証を経ていないリモートの攻撃者が、任意のサービスへWebSocketベースのTCPトンネルを作成できてしまいます。宛先としてlocalhostアドレスを指定することで、攻撃者は通常インターネットからはアクセスできないはずのアプライアンス内部サービスにアクセス可能になります。
Rapid7の報告によると、攻撃者はこのアクセス経路を悪用して、localhostのポート1050で動作するErlangプロセスや、アプライアンスのctrl-service(ポート8188)と通信していました。
研究者らは、検証した環境ではErlangサービスの認証用クッキーがハードコードされていたため、このサービスを悪用してオペレーティングシステムのコマンドを実行できることを実証しました。
これにより、攻撃者はSMAアプライアンスへの初期侵入の足がかりを得ることが可能となり、権限の低いcouchdbアカウントの下でコマンドを実行できる可能性があります。
2つ目の脆弱性であるCVE-2026-15410は、攻撃者にroot権限への昇格を許してしまいます。この深刻度の高い欠陥は、ctrl-serviceが処理するremove_hotfixまたはrollbackのワークフローに存在します。
これは、hotfixパラメータにおけるパス検証の不備に起因しており、パストラバーサル攻撃を可能にします。攻撃者は、書き込み可能なディレクトリに配置した悪意あるスクリプトへ、アプライアンスのロールバック操作の対象を誘導できます。すると脆弱性のあるプロセスがそのスクリプトの権限を変更し、Bash経由でrootとして呼び出してしまいます。
Rapid7の検証では、投入したスクリプトの実行に成功した後、アプライアンスが再起動する場合があることが示されており、インシデント対応やフォレンジック調査のための証跡収集が複雑化する恐れがあります。
攻撃が成功する連鎖では、外部の攻撃者はまずCVE-2026-15409を悪用して内部限定のサービスにアクセスし、コードを実行して悪意あるペイロードを書き込むか参照した上で、次にCVE-2026-15410を悪用してアプライアンスの完全な管理者権限を奪取します。
影響を受ける製品には、12.4.3系および12.5.0系の脆弱なリリースを実行しているSonicWall SMA 1000シリーズのデバイス(6210、7210、8200v)が含まれます。SonicWallは、SonicWallファイアウォールおよびSMA 100シリーズのSSL VPN機能は影響を受けないとしています。
影響を受ける組織は、直ちにSonicWall SMA 1000プラットフォームのホットフィックスバージョン12.4.3-03453以降、または12.5.0-02835以降にアップグレードする必要があります。回避策は存在しません。
悪用が確認されていることから、防御側はアプライアンスに侵害の痕跡がないか調査するとともに、必要に応じて影響を受けた物理デバイスの再イメージ化や仮想アプライアンスの再展開を行うべきです。加えて、侵入が確認された場合には、管理者およびユーザーのパスワードを変更し、TOTPトークンをリセットすることも重要です。
脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをSOCに統合するのは今すぐ。
ネットワークセキュリティ
翻訳元: https://gbhackers.com/hackers-exploit-sonicwall-sma1000-zero-days/