SonicWall 警告 SMA1000 漏洞已遭到零日攻击的利用
SonicWall 警告,攻击者正在利用 SMA1000 系列设备中的两个零日漏洞(CVE-2026-15409 和 CVE-2026-15410)发起实际攻击,并敦促受影响的用户立即安装最新热修复程序。官方建议管理员检查已公布的入侵指标(IOC),如确认设备遭到入侵,应重新部署设备并更换所有相关凭据,以降低进一步被攻击的风险。
SonicWall 日前发布安全公告,警告用户攻击者正在利用 SMA1000 系列产品中的两个零日漏洞发起实际攻击,并敦促所有受影响的客户尽快安装最新发布的安全更新。
此次涉及的漏洞分别为 CVE-2026-15409 和 CVE-2026-15410。其中,CVE-2026-15409 是一个 CVSS 评分为 10.0 的严重级服务器端请求伪造(SSRF)漏洞,存在于 SMA1000 Appliance Work Place 界面。攻击者无需身份验证即可远程利用该漏洞,并且诱使设备向非预期目标发送请求。
另一漏洞 CVE-2026-15410 为存在于 SMA1000 Appliance Management Console 的身份验证后代码注入漏洞,CVSS 的评分为 7.2。具备管理员权限的远程攻击者可借此执行任意操作系统命令。尽管该漏洞需要管理员权限才能利用,但是SonicWall 仍将此次安全事件整体风险评估为 CVSS 10.0。
SonicWall 产品安全事件响应团队(PSIRT)表示,在调查过程中已发现多个案例,并且确认上述漏洞正在遭到攻击者主动利用,因此强烈建议客户尽快升级至最新热修复版本,从而消除相关风险。
目前,SonicWall 尚未说明攻击者是否会将两个漏洞串联利用,也未公开攻击活动的具体技术细节。
受影响的产品包括 SMA1000 6210、7210 及 8200v 型号,运行平台热修复版本 12.4.3-03245、12.4.3-03387、12.4.3-03434、12.5.0-02283、12.5.0-02624 或 12.5.0-02800。官方已在平台热修复版本 12.4.3-03453、12.5.0-02835 以及后续版本中提供安全修补程序。
SonicWall 同时强调,此次漏洞不会影响 SonicWall 防火墙上的 SSL-VPN 功能,也不会影响 SMA 100 的系列产品。
为了协助用户判断设备是否已遭入侵,SonicWall 公布了多项入侵指标(IOC)。 管理员应该重点检查 extraweb_access.log 是否存在访问 /__api__/login 或 /__api__/logout 且返回 HTTP 200 状态码的记录;是否存在访问 /wsproxy、携带异常主机参数并返回 HTTP 101 状态码的请求;检查 ctrl-service.log 是否记录包含路径遍历名称的热修复回滚操作;以及确认 /var/lib/unit/conf.json 是否出现 /__api__/login 或 /__api__/logout 的路由配置,因为这些 URI 不应出现在正常配置中。
SonicWall 建议所有用户尽快升级至最新热修复版本,并依据上述 IOC 对设备进行全面检查,以确认是否存在遭受攻击的痕迹。
如果确认设备已经遭到入侵,官方建议重新刷写物理设备镜像或重新部署虚拟设备,同时立即更换所有用户及管理员账户的密码,并重置所有基于时间的一次性密码(TOTP)令牌。SonicWall 指出,除了安装官方热修复程序之外,目前没有其他可有效缓解这些漏洞风险的替代措施。
美国网络安全和基础设施安全局(CISA)已将 CVE-2026-15409 与 CVE-2026-15410 归类到已知遭利用漏洞(KEV)目录,确认这两个漏洞是在真实攻击活动中被利用。
根据《强制运营指令(BOD)26-04》,美国联邦机构必须于 2026 年 7 月 17 日前完成受影响系统的修补工作;如果无法采取修复措施,那么应该停止使用相关的产品。
虽然 SonicWall 已确认漏洞遭到实际利用,但尚未公布攻击方式的详细信息。从目前公开的安全公告来看,这两个漏洞具备被串联利用的可能性,攻击者可能会借助未授权访问进一步取得受影响设备控制权,并最终实现远程代码执行(RCE),不过这一攻击链目前尚未获得官方确认。
SonicWall 表示,网络安全公司 Volexity 协助完成了此次的漏洞调查。截至目前为止,Volexity 尚未公开更多技术分析,但未来可能发布包含更多攻击细节和调查结果的研究报告。
目前,关于这两个漏洞的技术细节仍然有限,也尚未出现公开可用的概念验证(PoC)利用代码。安全研究普遍认为,一旦 PoC 利用代码公开,漏洞被攻击者快速武器化并大规模利用的风险将会显著增加。
对于部署 SonicWall SMA1000 系列设备的组织而言,应立即安装官方发布的安全更新,并按照安全公告检查相关日志,确认是否存在漏洞利用迹象。一旦发现设备已遭入侵,应立即重新刷写或重新部署设备,同时撤销并更新所有相关凭据,以降低后续被攻击的风险。


评论1次
看完这个通告,简单说几点:
SSRF那个10.0是真的香。不用认证直接打,这种漏洞在企业边界设备上意味着什么大家都懂。虽然现在是日志里那几个路径,但攻击者真正在用的手法大概率不止这些,建议别只盯着官方IOC看,有条件的话流量层面抓异常出站请求。
代码注入那个7.2别轻视。单独看需要管理员权限,但如果SSRF能打到管理接口配合用,那权限就不是问题了。现在PoC还没公开正好说明厂商这波压得紧,一旦有人逆向出补丁写出利用,估计也就是几天的事。
关于利用链的问题。官方没明说串联,但从漏洞位置来看,SSRF打Work Place拿到初始访问,再通过代码注入打Management Console拿xi统权限,这条路是走得通的。企业VPN设备一般权限还都比较高,拿下基本就是内网入口。
实测建议:能升级先升,升不了看设备是不是直接暴露在互联网的,那种公网管理界面没做白的建议先断掉。日志里那几个URI匹配度不算高,真正的攻击流量可能已经擦干净了,别因为IOC没命中就排除嫌疑。
有做过SMA1000挖洞或者测试的老哥可以说说这套设备有没有什么鸡肋的认证机制,当年那个NEO的事还历历在目。