Dos fallos de seguridad en equipos SonicWall SMA1000 ya se están usando en ataques.
SonicWall ha lanzado actualizaciones urgentes para varios dispositivos SMA1000, una familia usada para facilitar el acceso remoto seguro a redes corporativas. La compañía confirmó, tras investigar varios incidentes, que dos vulnerabilidades se están explotando en ataques de día cero. En la práctica, eso significa que el riesgo ya es real para las organizaciones afectadas.
La vulnerabilidad CVE-2026-15409 recibió una puntuación crítica de 10 sobre 10. Afecta a la interfaz Work Place del SMA1000 y permite a un atacante remoto no autenticado provocar peticiones hacia ubicaciones no deseadas. La segunda, CVE-2026-15410, es una inyección de código en la consola de gestión después de iniciar sesión. Aunque exige privilegios de administrador, podría permitir ejecutar comandos del sistema operativo.
Los modelos afectados son SMA1000 6210, 7210 y 8200v cuando ejecutan determinadas versiones hotfix de las ramas 12.4.3 y 12.5.0. Las correcciones están disponibles desde las versiones 12.4.3-03453 y 12.5.0-02835. SonicWall subraya que no existen mitigaciones alternativas eficaces, así que el parche es la vía recomendada.
La empresa también aclaró que el problema no afecta al SSL-VPN incluido en sus cortafuegos ni a la serie SMA 100. Esa precisión evita extender la alarma a productos que no tienen el mismo fallo.
Junto con las actualizaciones, SonicWall aconseja buscar indicadores de compromiso en registros y archivos de configuración. Si aparece una señal de intrusión, recomienda reinstalar los equipos físicos o volver a desplegar los virtuales, cambiar todas las contraseñas y restablecer los tokens TOTP.
Basado en: Lawrence Abrams, BleepingComputer
