SonicWall выпустила предупреждение, которое обычно не сулит ничего хорошего администраторам корпоративных сетей: два нуля в устройствах Secure Mobile Access (SMA) 1000 series уже эксплуатируются вживую. Причём не по отдельности — злоумышленники научились связывать обе уязвимости в цепочку, получая в итоге полный контроль над устройством.
Первая дыра, CVE-2026-15409, получила максимальный балл по CVSS — 10.0. Это Server-Side Request Forgery, позволяющая неаутентифицированному атакующему из интернета заставить устройство отправлять запросы туда, куда оно отправлять их не должно. Классическая SSRF, но с потенциалом стать точкой входа для чего-то более серьёзного.
Именно этим более серьёзным оказалась вторая уязвимость — CVE-2026-15410, оценённая в 7.2 балла. Она сидит в Appliance Management Console (AMC) и требует аутентификации, зато награда за неё куда весомее: возможность выполнять произвольные команды операционной системы с правами администратора. Связка простая и по-своему элегантная: через SSRF получаешь доступ туда, где обычно аутентификация нужна, а дальше — уже полноценное выполнение кода на уровне ОС.
SonicWall в официальном заявлении подтвердила: «мы расследовали несколько случаев, указывающих на активную эксплуатацию уязвимостей», и настоятельно рекомендует обновляться немедленно. Патчи уже готовы — версии 4.3-03453 (platform-hotfix) и выше, а также 12.5.0-02835 (platform-hotfix) и выше закрывают обе бреши.
Компания также опубликовала список индикаторов компрометации, по которым можно проверить, не были ли устройства уже взломаны. В логе extraweb_access.log стоит искать запросы к /__api__/login или /__api__/logout с кодом ответа HTTP 200, а также запросы к /wsproxy с подозрительными параметрами host и статусом HTTP 101. В ctrl-service.log выдают себя откаты хотфиксов с именами, построенными по схеме path traversal. Отдельная неприятная деталь — файл /var/lib/unit/conf.json: если в нём обнаруживаются маршруты для /__api__/login или /__api__/logout, это уже само по себе признак нелегитимной конфигурации, поскольку в норме таких URI там быть не должно.
Если хотя бы один из этих индикаторов найден, SonicWall рекомендует не полумеры, а полную переустановку — переобразить физическое устройство или развернуть заново виртуальное, сменить все пароли пользователей и администраторов и сбросить TOTP-токены для двухфакторной аутентификации. Логика понятна: если злоумышленник закрепился внутри, локальные патчи проблему не решают.
За обнаружением стоит Адам Бабис из команды реагирования на инциденты безопасности продукции SonicWall (PSIRT), а дополнительную помощь в расследовании оказали Шон Кёссель и Стивен Адэйр из компании Volexity — именно они помогли выявить ещё один индикатор компрометации.
Американское агентство по кибербезопасности и защите инфраструктуры, CISA, отреагировало быстро: обе уязвимости внесены в каталог известных эксплуатируемых уязвимостей (KEV). Федеральным гражданским ведомствам США (FCEB) предписано устранить проблему до 17 июля 2026 года — срок не самый долгий, что косвенно говорит о серьёзности угрозы.
Анализ атак, проведённый SonicWall совместно с Rapid7, рисует достаточно неприятную картину методологии атакующих. Периметровое устройство использовалось как скрытный вектор первоначального доступа — команды на уровне ОС выполнялись в обход стандартных механизмов проверки ввода. После закрепления в системе атакующие методично собирали ценные данные: учётные данные высокого уровня привилегий, базы активных сессий и конфигурации сидов TOTP для многофакторной аутентификации. Цель такого сбора очевидна — обеспечить долгосрочный доступ, который переживёт стандартные меры реагирования на сетевом уровне.
Специалисты Rapid7 обратили внимание на несколько поведенческих аномалий. Аутентификации происходили напрямую с внутреннего IP-адреса самого устройства. Использовались нетипичные имена клиентских рабочих станций — не похожие на корпоративные, в качестве примера приводится имя «kali» (явная отсылка к дистрибутиву для тестирования на проникновение). Действия выполнялись в контексте встроенной служебной учётной записи LDAP, при этом активного VPN-туннеля, соответствующего этой активности, обнаружить не удалось.
Именно отсутствие VPN-туннеля при прямом машинном перемещении внутри сети стало ключевым доказательством масштаба компрометации. Как сформулировали в Rapid7, «само устройство было полностью скомпрометировано и действовало как неконтролируемый бэкдор в инфраструктуру корпоративного каталога». Иными словами, шлюз, который должен был защищать периметр, превратился в его самую слабую точку.
Первая дыра, CVE-2026-15409, получила максимальный балл по CVSS — 10.0. Это Server-Side Request Forgery, позволяющая неаутентифицированному атакующему из интернета заставить устройство отправлять запросы туда, куда оно отправлять их не должно. Классическая SSRF, но с потенциалом стать точкой входа для чего-то более серьёзного.
Именно этим более серьёзным оказалась вторая уязвимость — CVE-2026-15410, оценённая в 7.2 балла. Она сидит в Appliance Management Console (AMC) и требует аутентификации, зато награда за неё куда весомее: возможность выполнять произвольные команды операционной системы с правами администратора. Связка простая и по-своему элегантная: через SSRF получаешь доступ туда, где обычно аутентификация нужна, а дальше — уже полноценное выполнение кода на уровне ОС.
SonicWall в официальном заявлении подтвердила: «мы расследовали несколько случаев, указывающих на активную эксплуатацию уязвимостей», и настоятельно рекомендует обновляться немедленно. Патчи уже готовы — версии 4.3-03453 (platform-hotfix) и выше, а также 12.5.0-02835 (platform-hotfix) и выше закрывают обе бреши.
Компания также опубликовала список индикаторов компрометации, по которым можно проверить, не были ли устройства уже взломаны. В логе extraweb_access.log стоит искать запросы к /__api__/login или /__api__/logout с кодом ответа HTTP 200, а также запросы к /wsproxy с подозрительными параметрами host и статусом HTTP 101. В ctrl-service.log выдают себя откаты хотфиксов с именами, построенными по схеме path traversal. Отдельная неприятная деталь — файл /var/lib/unit/conf.json: если в нём обнаруживаются маршруты для /__api__/login или /__api__/logout, это уже само по себе признак нелегитимной конфигурации, поскольку в норме таких URI там быть не должно.
Если хотя бы один из этих индикаторов найден, SonicWall рекомендует не полумеры, а полную переустановку — переобразить физическое устройство или развернуть заново виртуальное, сменить все пароли пользователей и администраторов и сбросить TOTP-токены для двухфакторной аутентификации. Логика понятна: если злоумышленник закрепился внутри, локальные патчи проблему не решают.
За обнаружением стоит Адам Бабис из команды реагирования на инциденты безопасности продукции SonicWall (PSIRT), а дополнительную помощь в расследовании оказали Шон Кёссель и Стивен Адэйр из компании Volexity — именно они помогли выявить ещё один индикатор компрометации.
Американское агентство по кибербезопасности и защите инфраструктуры, CISA, отреагировало быстро: обе уязвимости внесены в каталог известных эксплуатируемых уязвимостей (KEV). Федеральным гражданским ведомствам США (FCEB) предписано устранить проблему до 17 июля 2026 года — срок не самый долгий, что косвенно говорит о серьёзности угрозы.
Анализ атак, проведённый SonicWall совместно с Rapid7, рисует достаточно неприятную картину методологии атакующих. Периметровое устройство использовалось как скрытный вектор первоначального доступа — команды на уровне ОС выполнялись в обход стандартных механизмов проверки ввода. После закрепления в системе атакующие методично собирали ценные данные: учётные данные высокого уровня привилегий, базы активных сессий и конфигурации сидов TOTP для многофакторной аутентификации. Цель такого сбора очевидна — обеспечить долгосрочный доступ, который переживёт стандартные меры реагирования на сетевом уровне.
Специалисты Rapid7 обратили внимание на несколько поведенческих аномалий. Аутентификации происходили напрямую с внутреннего IP-адреса самого устройства. Использовались нетипичные имена клиентских рабочих станций — не похожие на корпоративные, в качестве примера приводится имя «kali» (явная отсылка к дистрибутиву для тестирования на проникновение). Действия выполнялись в контексте встроенной служебной учётной записи LDAP, при этом активного VPN-туннеля, соответствующего этой активности, обнаружить не удалось.
Именно отсутствие VPN-туннеля при прямом машинном перемещении внутри сети стало ключевым доказательством масштаба компрометации. Как сформулировали в Rapid7, «само устройство было полностью скомпрометировано и действовало как неконтролируемый бэкдор в инфраструктуру корпоративного каталога». Иными словами, шлюз, который должен был защищать периметр, превратился в его самую слабую точку.