SonicWall publica hotfixes tras detectar ataques reales contra dos zero-days en SMA1000

Wait 5 sec.

SonicWall ha confirmado la explotación activa de dos zero-days en SMA1000, uno crítico sin autenticación y otro de inyección de código tras iniciar sesión. La compañía ya tiene hotfixes y las agencias federales de EE UU deben aplicar la corrección antes del 17 de julio de 2026 o dejar de usar los equipos afectados.SonicWall ha activado el modo emergencia tras detectar intrusiones reales que aprovechan dos vulnerabilidades zero-day en la serie SonicWall SMA1000, un tipo de appliance que suele vivir en el perímetro y da acceso remoto a redes corporativas. El problema no se queda en una prueba de concepto: la explotación ya está en marcha y eleva el riesgo para cualquier organización con estos equipos expuestos a Internet.La primera vulnerabilidad, CVE-2026-15409, alcanza un CVSS 10.0 y encaja en el patrón más temido en dispositivos perimetrales: una SSRF sin autenticación en la interfaz SMA1000 Appliance Work Place. En la práctica, permite que un atacante remoto fuerce al appliance a realizar peticiones hacia destinos no previstos, un punto de apoyo habitual para pivotar hacia servicios internos o encadenar pasos posteriores.La segunda, CVE-2026-15410, baja a CVSS 7.2 pero no es menor en consecuencias. Afecta a SMA1000 Appliance Management Console y permite inyección de código tras autenticación, con capacidad para que un administrador autenticado ejecute comandos del sistema operativo. En ataques avanzados, este tipo de fallo se usa para consolidar el control, abrir persistencia o manipular la configuración del equipo.Los modelos citados como afectados incluyen SMA6210, SMA7210 y SMA8200v. Entre las versiones vulnerables aparecen platform hotfix 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 y 12.5.0-02800. SonicWall ya ofrece versiones corregidas, con los hotfix 12.4.3-03453 y 12.5.0-02835, además de posteriores. La compañía no contempla mitigaciones equivalentes que sustituyan a instalar estas correcciones.El escenario se complica porque se han observado ataques que podrían encadenar ambos fallos, aunque no todas las fuentes lo dan aún por confirmado. Aun así, el mensaje operativo no cambia: parchear no basta si existe la sospecha de acceso previo. Los indicadores de compromiso incluyen peticiones en extraweb_access.log a /api/login o /api/logout con HTTP 200, llamadas a /wsproxy con parámetros host sospechosos con HTTP 101, posibles rollbacks de hotfix con nombres vinculados a traversal en ctrl-service.log, y rutas anómalas para /api/login o /api/logout en /var/lib/unit/conf.json.En paralelo, CISA ya ha añadido CVE-2026-15409 y CVE-2026-15410 al catálogo Known Exploited Vulnerabilities, con una fecha límite clara: el 17 de julio de 2026 para que las agencias federales aseguren los sistemas afectados o los retiren si no pueden aplicar la corrección. Conviene subrayar también lo que no entra en el alcance: los fallos no afectan al SSL VPN de los firewalls SonicWall ni a la línea SonicWall SMA 100 Series.Para las organizaciones, la lista de tareas es directa y urgente: actualizar de inmediato a 12.4.3-03453 o 12.5.0-02835 en cualquier SMA1000 accesible desde Internet, inventariar equipos SMA6210, SMA7210 y SMA8200v y priorizar los que tengan más exposición administrativa. Después toca revisar logs y configuración en busca de IOCs y preservar evidencias si se necesita análisis forense. Si aparecen señales de intrusión, la recomendación pasa por reimaginar appliances físicos o redesplegar los virtuales antes de volver a producción, rotar contraseñas de usuarios y administradores, y restablecer tokens TOTP.Como medida de contención, muchas empresas optarán por aislar temporalmente el appliance del plano de gestión y restringir el acceso administrativo a redes de administración y bastiones. También conviene validar que nadie ha aplicado rollbacks no autorizados y bloquear los downgrades salvo bajo control de cambios formal. En la monitorización, merece la pena añadir detecciones específicas para /wsproxy con parámetros host anómalos y para accesos a /api/login y /api/logout, ya que esos rastros aparecen entre los patrones más útiles para identificar actividad maliciosa en estos equipos.Más informaciónBleepingComputer – SonicWall warns of SMA1000 flaws exploited in zero-day attacks, patch now : https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/Help Net Security – SonicWall SMA appliances targeted in zero-day attacks (CVE-2026-15409, CVE-2026-15410) : https://www.helpnetsecurity.com/2026/07/14/sonicwall-sma-attacks-via-cve-2026-15409-cve-2026-15410/The Hacker News – Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands : https://thehackernews.com/La entrada SonicWall publica hotfixes tras detectar ataques reales contra dos zero-days en SMA1000 se publicó primero en Una Al Día.