SonicWall memperingatkan bahwa pelaku ancaman telah mengeksploitasi dua kerentanan SMA1000, yang dilacak sebagai CVE-2026-15409 dan CVE-2026-15410, dalam serangan zero-day dan mendesak pelanggan untuk menginstal pembaruan keamanan yang baru dirilis.
CVE-2026-15409 adalah kerentanan pemalsuan permintaan sisi server (SSRF) yang kritis (CVSS 10.0) di antarmuka Appliance Work Place SMA1000 yang memungkinkan penyerang jarak jauh yang tidak diautentikasi memaksa peralatan membuat permintaan ke lokasi yang tidak diinginkan.
CVE-2026-15410 adalah kelemahan injeksi kode pasca-otentikasi dengan tingkat keparahan tinggi (CVSS 7.2) di Konsol Manajemen Peralatan SMA1000 yang memungkinkan administrator yang diautentikasi jarak jauh menjalankan perintah sistem operasi sewenang-wenang.
Meskipun CVE-2026-15410 memerlukan hak istimewa administrator, SonicWall memberikan skor CVSS keseluruhan kepada penasihat tersebut sebesar 10,0.
SonicWall mengatakan pihaknya menyelidiki beberapa insiden dan mengonfirmasi bahwa kedua kerentanan tersebut dieksploitasi secara aktif.
“SonicWall PSIRT telah menyelidiki beberapa kasus yang mengindikasikan eksploitasi aktif atas kerentanan yang dijelaskan dalam nasihat ini,” SonicWall memperingatkan.
“Pelanggan sangat disarankan untuk meningkatkan ke rilis perbaikan terbaru sesegera mungkin untuk mengatasi kerentanan ini”
Namun, perusahaan belum mengungkapkan apakah penyerang merantai mereka. BleepingComputer telah menghubungi SonicWall untuk mengklarifikasi serangan tersebut dan akan memperbarui cerita ini jika kami menerima tanggapan.
Kerentanan mempengaruhi model SMA1000 6210, 7210, dan 8200v yang menjalankan rilis perbaikan terbaru platform 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624, dan 12.5.0-02800. Perbaikan tersedia di platform-hotfix versi 12.4.3-03453 dan 12.5.0-02835, dan rilis yang lebih baru.
SonicWall mengatakan kerentanan tersebut tidak memengaruhi SSL-VPN yang berjalan di firewall SonicWall atau lini produk SMA 100 Series.
Perusahaan juga membagikan indikator kompromi (IOC) yang dapat digunakan administrator untuk menentukan apakah suatu peralatan telah disusupi:
- jika di extraweb_access.log disebutkan permintaan ke /__api__/login atau /__api__/logout dengan status HTTP 200
- jika di extraweb_access.log disebutkan permintaan ke /wsproxy dengan parameter host yang mencurigakan dengan status HTTP 101
- jika di ctrl-service.log disebutkan pengembalian hotfix dengan nama traversal jalur
- jika /var/lib/unit/conf.json berisi rute untuk /__api__/login atau /__api__/logout (URI ini tidak ada dalam konfigurasi yang sah)
SonicWall sangat menyarankan untuk meningkatkan ke rilis perbaikan terbaru terbaru dan melakukan analisis untuk menentukan apakah ada IOC di atas.
Jika perangkat ditemukan telah disusupi, perusahaan menyarankan administrator untuk mengambil gambar ulang peralatan fisik atau menerapkan ulang peralatan virtual, mengubah semua kata sandi pengguna dan administrator, dan mengatur ulang token TOTP.
SonicWall juga mencatat bahwa tidak ada solusi atau mitigasi untuk kelemahan ini selain menginstal perbaikan terbaru.
Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan kedua kerentanan tersebut ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), mengonfirmasi bahwa kerentanan tersebut sedang dieksploitasi secara aktif dalam serangan.
Badan-badan federal memiliki waktu hingga 17 Juli 2026, untuk mengamankan sistem yang terkena dampak berdasarkan Petunjuk Operasional yang Mengikat (BOD) 26-04 atau menghentikan penggunaan produk jika mitigasi tidak dapat diterapkan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.