Dos fallos de seguridad en equipos SonicWall SMA1000 ya se están usando en ataques.
SonicWall ha publicado correcciones para dos vulnerabilidades en la plataforma SMA1000 después de confirmar que ambas se están explotando en ataques de día cero. Estos dispositivos proporcionan acceso remoto a redes corporativas, así que una exposición en ese punto puede convertirse en una entrada directa a entornos internos.
El fallo más grave, CVE-2026-15409, tiene una puntuación CVSS de 10.0 y afecta a la interfaz Work Place. Permite a un atacante remoto no autenticado inducir al dispositivo a realizar solicitudes hacia ubicaciones no previstas, una técnica conocida como falsificación de peticiones del lado del servidor. El segundo fallo, CVE-2026-15410, es de severidad alta y consiste en una inyección de código en la consola de administración tras autenticación. Requiere privilegios de administrador, pero podría desembocar en la ejecución de comandos del sistema operativo.
La alerta se limita a los modelos SMA1000 6210, 7210 y 8200v que ejecutan varias versiones hotfix de las ramas 12.4.3 y 12.5.0. SonicWall sitúa la corrección en las versiones 12.4.3-03453 y 12.5.0-02835, así como en ediciones posteriores. También advierte de que no hay medidas de mitigación equivalentes al parche, por lo que actualizar es la acción central para reducir el riesgo.
La compañía indicó que el SSL-VPN de sus cortafuegos y la serie SMA 100 quedan fuera del alcance de estos fallos. Además, difundió indicadores de compromiso para que los administradores revisen registros y configuraciones anómalas. Si se detecta una intrusión, recomienda reinstalar o redeplegar el dispositivo, renovar contraseñas y restablecer los tokens TOTP.
Basado en: Lawrence Abrams, BleepingComputer
