Dos fallos de seguridad en equipos SonicWall SMA1000 ya se están usando en ataques.
SonicWall ha pedido a sus clientes que actualicen cuanto antes algunos equipos SMA1000. Estos dispositivos se usan para dar acceso remoto a redes de empresas y organizaciones. La alerta es urgente porque dos vulnerabilidades ya se están usando en ataques reales, no solo en pruebas.
Los fallos se identifican como CVE-2026-15409 y CVE-2026-15410. El primero tiene la máxima gravedad. Permite a un atacante remoto, sin iniciar sesión, provocar que el equipo envíe peticiones a destinos no previstos. El segundo necesita permisos de administrador, pero puede permitir ejecutar comandos del sistema desde la consola de gestión.
La empresa investigó varios incidentes y confirmó el uso activo de los dos fallos. No aclaró si los atacantes los combinan en una misma cadena. En cualquier caso, la medida principal es instalar las versiones hotfix publicadas, porque SonicWall no ofrece una alternativa equivalente al parche.
Los modelos afectados son SMA1000 6210, 7210 y 8200v con determinadas versiones 12.4.3 y 12.5.0. SonicWall también explicó que los cortafuegos con SSL-VPN y la serie SMA 100 no están afectados. Esta aclaración ayuda a los equipos técnicos a revisar los productos correctos.
Además de actualizar, la compañía publicó señales de compromiso para revisar registros y configuraciones. Si un dispositivo muestra indicios de ataque, recomienda reinstalarlo o volver a desplegarlo, cambiar las contraseñas de usuarios y administradores, y restablecer los tokens TOTP.
Basado en: Lawrence Abrams, BleepingComputer
