SonicWallは2026年7月14日、同社のSMA1000シリーズ リモートアクセスアプライアンスに影響を及ぼす、実際に悪用が確認されている2件の脆弱性についてセキュリティアドバイザリを公開しました。
対象となるのは、最高深刻度のサーバーサイドリクエストフォージェリ(SSRF)脆弱性(CVE-2026-15409、CVSS 10.0)と、深刻度「高」のコードインジェクション脆弱性(CVE-2026-15410)です。SonicWallは顧客に対し、プラットフォームホットフィックスの適用を直ちに行うよう強く呼びかけています。
CVE-2026-15409を悪用すると、未認証の攻撃者がアプライアンス上のlocalhost限定サービスに対して、WebSocketベースのトンネルを任意に開くことが可能になります。この脆弱性は、SonicWall WorkPlaceアプリケーションがポート443で提供する/wsproxyパス経由でアクセスされるWebSocketプロキシ機能に存在します。
攻撃者はホスト値にlocalhostを指すものを指定することで、通常であればファイアウォールに守られている内部システムサービス、具体的にはポート1050のErlangアプリケーションやポート8188のctrl-serviceに到達できます。
CVE-2026-15410はこの初期侵入を足がかりとするものです。これはctrl-serviceのremove_hotfixワークフローに存在するパストラバーサル脆弱性で、ポート8188経由またはWebコンソール経由で悪用可能です。
攻撃者は悪意のあるホットフィックスパス(例:../../../../var/tmp/privesc)を指定し、システムはこれをroot権限で実行してしまいます。その後、通常はアプライアンスの再起動が行われます。
Rapid7のマネージド検知対応(MDR)チームは、SonicWallによる公表以前に、インターネットに公開されたSMA 1000アプライアンスを狙った標的型のゼロデイ悪用を確認していました。
脅威アクターはこのアプライアンスを密かな初期侵入拠点として利用し、認証情報やセッションデータベース、TOTP多要素認証のシード値を窃取して持続的な侵入を維持していました。
特筆すべきは、Rapid7が確認した点として、侵害されたアプライアンスの内部IPアドレスから、「kali」のような社外の端末名を用いたVPNを経由しないActive Directory認証の異常な挙動が見られたことです。
このパターンにより、アプライアンスが監視の目をかいくぐって内部ネットワークへの侵入経路として利用されていたことが裏付けられました。
両CVEはすでにCISAの既知の悪用済み脆弱性(KEV)カタログに追加されています。CVE-2026-15409に対するPython製の概念実証コードはすでに公開されており、Metasploitモジュールも開発中です。
この脆弱性の影響を受けるのは、バージョン12.4.3-03245から12.4.3-03434まで、および12.5.0-02283から12.5.0-02800までを実行しているSMA1000シリーズのモデル6210、7210、8200vです。SonicWallファイアウォールおよびSMA 100シリーズのSSL VPN機能は影響を受けません。
修正済みバージョンは12.4.3-03453および12.5.0-02835(プラットフォームホットフィックス)以降です。回避策は存在しません。SonicWallは組織に対し、以下の対応を推奨しています。
注記: IPアドレスおよびドメインは、誤って名前解決やリンク化されることを防ぐため、意図的に無害化表記(例:[.])としています。再度有効な表記に戻す作業は、MISPやVirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
より強固な事前防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを導入する
翻訳元: https://cyberpress.org/critical-sonicwall-ssrf-zero-day/