SonicWall ha emitido un aviso de seguridad de emergencia advirtiendo sobre la explotación activa en la práctica (in the wild) de dos vulnerabilidades Zero-Day que afectan a sus dispositivos de acceso remoto seguro de la serie SMA1000. El fallo más crítico permite a un atacante remoto no autenticado comprometer la red interna mediante la falsificación de solicitudes del lado del servidor (SSRF). Actualmente no existen mitigaciones alternativas viables, exigiendo la aplicación inmediata de parches de firmware.
Veredicto Analítico
- Estado: Explotación Activa Confirmada. Investigado de manera conjunta por el PSIRT de SonicWall y Volexity.
- Confianza: Absoluta. Validado mediante el boletín de seguridad oficial de SonicWall y la telemetría de incidentes.
- Riesgo para SOC, TDIR y Redes: Crítico. Los dispositivos SMA1000 actúan como puertas de enlace seguras (VPN/Acceso) hacia las redes corporativas. El compromiso de estos nodos perimetrales permite a los atacantes eludir defensas, pivotar hacia recursos internos que no están expuestos a Internet y lograr el control a nivel de sistema operativo.
- Urgencia Operativa: Crítica. La explotación no requiere privilegios ni interacción del usuario para el vector inicial. Los equipos expuestos deben ser parcheados inmediatamente o desconectados hasta su actualización. Si se detecta compromiso, el dispositivo debe ser reinstalado desde cero.
- Base del Veredicto: Combinación letal de un fallo SSRF crítico en la interfaz de usuario de trabajo (Workplace) y una falla de inyección de comandos post-autenticación en la consola de administración.
Hallazgos Clave
- Vulnerabilidad Crítica (CVE-2026-15409): Falsificación de solicitud del lado del servidor (SSRF) no autenticada en la interfaz SMA1000 Workplace. Puntuación CVSS de 10.0 (Máxima).
- Vulnerabilidad Alta (CVE-2026-15410): Inyección de código post-autenticación en la consola de administración, permitiendo ejecución de comandos del sistema operativo (RCE). Puntuación CVSS de 7.2.
- Dispositivos Afectados: Modelos de la serie SonicWall SMA1000 (6210, 7210 y 8200) que ejecutan las actualizaciones de plataforma de las ramas 12.4.3 y 12.5.0.
- Plataformas No Afectadas: La línea de dispositivos de la serie SMA 100 y los servicios SSL-VPN integrados en los firewalls estándar de SonicWall no se ven afectados.
Análisis Técnico: Vectores de Riesgo
La cadena de ataque observada aprovecha las debilidades de los servicios de acceso remoto expuestos:
- Reconocimiento e Infiltración Inicial (SSRF): El atacante apunta a la interfaz pública “Workplace” del dispositivo. Mediante solicitudes HTTP manipuladas (CVE-2026-15409), fuerza al gateway de SonicWall a actuar como un proxy encubierto. El dispositivo vulnerable ejecuta las solicitudes del atacante hacia otros servidores de la red interna corporativa o hacia infraestructura externa de Comando y Control (C2), evadiendo los controles del perímetro.
- Escalada y Control (Inyección de Código): Si el atacante logra capturar credenciales administrativas (potencialmente a través de phishing interno o extracción de secretos facilitada por el SSRF) o si compromete una sesión activa, utiliza el CVE-2026-15410. Esto le permite inyectar comandos de sistema operativo directamente desde la consola de administración, otorgándole el control total y persistente a nivel de root del appliance.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
- Ejecución: Intérprete de Comandos y Scripts (Command and Scripting Interpreter – T1059) mediante inyección en el SO.
- Movimiento Lateral: Servicios Remotos (Remote Services – T1021) facilitado por el abuso del SSRF para sondear y atacar recursos de la Intranet.
Recomendaciones Operativas
Para Administración de Redes, Infraestructura y TI (Acción Prioritaria)
- Parcheo Urgente: Actualizar inmediatamente los dispositivos SMA1000 a la versión 12.4.3-0345 (o posterior) para la rama 12.4.3, o a la versión 12.5.0-0283 (o posterior) para la rama 12.5.0, disponibles en el portal MySonicWall.
- Protocolo de Reinstalación (IR): Si las investigaciones del SOC confirman el compromiso, la simple actualización no garantiza la expulsión del atacante. Se debe reinstalar el sistema operativo desde cero en dispositivos físicos (hardware) o volver a implementar completamente los dispositivos virtuales.
- Rotación de Credenciales: En caso de posible compromiso, se deben restablecer todas las contraseñas de usuarios y administradores, e invalidar/reiniciar los tokens de contraseña de un solo uso (TOTP) para evitar el reingreso con credenciales robadas.
Para el Centro de Operaciones de Seguridad (SOC) – Indicadores de Compromiso (IoCs)
Se debe iniciar una cacería de amenazas (Threat Hunting) revisando los siguientes artefactos del sistema:
- Log extraweb_access.log: Buscar peticiones sospechosas a los endpoints /api/login o /api/logout que hayan devuelto códigos de estado HTTP 200.
- Log extraweb_access.log (Proxy): Buscar solicitudes hacia /wsproxy que contengan parámetros de host sospechosos y devuelvan códigos HTTP 101 (Switching Protocols).
- Log ctrl-service.log: Inspeccionar en busca de entradas de reversión de parches que contengan nombres o patrones similares a ataques de recorrido de ruta (path traversal).
- Archivo de Configuración: Revisar /var/lib/unit/conf.json en busca de rutas que incluyan /api/login o /api/logout, lo cual es un indicador directo de manipulación no autorizada.




