10 de 10: detectan una vulnerabilidad crítica en las pasarelas de SonicWall y ya se están explotando para atacar redes corporativas

10 de 10: detectan una vulnerabilidad crítica en las pasarelas de SonicWall y ya se están explotando para atacar redes corporativas

Habrá que formatear por completo los equipos infectados para expulsar a los intrusos.

image

Los dispositivos de acceso remoto suelen situarse en el límite de la red corporativa, por lo que cualquier vulnerabilidad en ellos atrae rápidamente a los atacantes. SonicWall confirmó que dos vulnerabilidades antes desconocidas en los gateways SMA1000 ya se están empleando en ataques reales y lanzó correcciones.

La vulnerabilidad crítica CVE-2026-15409 recibió una puntuación de 10 sobre 10 en la escala CVSS 3.1. El fallo permite que un atacante remoto sin cuenta obligue al dispositivo a enviar solicitudes a direcciones internas u otras direcciones no previstas. El problema afecta a la interfaz Appliance Work Place y pertenece a la clase SSRF.

La segunda vulnerabilidad, CVE-2026-15410 (7.2 en la escala CVSS 3.1), permite inyectar comandos del sistema operativo a través de la consola de gestión Appliance Management Console. Para explotarla se necesita acceso de administrador. SonicWall investigó varios incidentes y confirmó el uso de ambas brechas, pero no informó si los atacantes las combinaron en una única cadena.

Las vulnerabilidades se detectaron en los modelos SMA1000 6210, 7210 y 8200v en varias versiones de las ramas 12.4.3 y 12.5.0. Las correcciones se incluyeron en las versiones 12.4.3-03453, 12.5.0-02835 y posteriores. Los problemas no afectan a SSL-VPN en los cortafuegos SonicWall ni a los dispositivos de la serie SMA 100.

Los indicios de compromiso pueden ser solicitudes exitosas a direcciones anómalas /api/login y /api/logout, parámetros sospechosos en solicitudes a /wsproxy, reversiones de actualizaciones mediante evasión de directorios y rutas ajenas en el archivo /var/lib/unit/conf.json.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ya añadió ambos errores al catálogo de vulnerabilidades explotadas conocidas. Las agencias federales deben proteger los sistemas antes del 17 de julio de 2026 o dejar de usar los productos vulnerables.

SonicWall recomienda instalar de inmediato la actualización disponible y revisar los registros. Si se detecta una intrusión, el dispositivo físico debe reinstalarse, el despliegue virtual reconstruirse y las contraseñas y los tokens TOTP restablecerse. La empresa no propuso otras medidas para reducir el riesgo.