SonicWall: rilevato sfruttamento attivo di nuove vulnerabilità (AL04/260715/CSIRT-ITA)
Data:
15 Luglio 2026
Impatto Sistemico
Critico (79.48)
Sintesi
Rilevato sfruttamento attivo in rete di nuove vulnerabilità – già sanate dal vendor – di cui una con gravità “critica” e una con gravità “alta”, presenti nel prodotto SonicWall SMA 1000 Series.
Tipologia
- Security Restrictions Bypass
- Remote Code Execution
Descrizione e potenziali impatti
Nel dettaglio, la vulnerabilità identificata tramite la CVE-2026-15409, – di tipo “Server-Side Request Forgery (SSRF)” con CVSS Score v3.1 pari a 10.0 – , può essere sfruttata da un attaccante remoto non autenticato per forzare l’appliance a generare richieste HTTP verso destinazioni arbitrarie, consentendo potenzialmente attività di ricognizione, accesso a informazioni sensibili o il successivo sfruttamento di ulteriori vulnerabilità.
La seconda vulnerabilità, identificata tramite la CVE-2026-15410, – di tipo “Post-authentication improper control of generation of code (‘Code Injection’)” con CVSS Score pari a 7.2 – interessa la console di amministrazione delle stesse appliance. In specifiche condizioni, un utente autenticato con privilegi amministrativi potrebbe sfruttare la vulnerabilità per iniettare ed eseguire comandi arbitrari sul sistema operativo sottostante compromettendo il dispositivo interessato. Secondo quanto riportato dal vendor, le due vulnerabilità sono state utilizzate in combinazione durante gli attacchi osservati.
Prodotti e/o versioni affette
SonicWall SMA 1000
- 12.4.3-03245
- 12.4.3-03387
- 12.4.3-03434
- 12.5.0-02283
- 12.5.0-02624
- 12.5.0-02800
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Si raccomanda, inoltre, di verificare l’eventuale presenza di indicatori di compromissione, con particolare attenzione a:
- eventuale presenza di richieste a endpoint /__api__/login o /__api__/logout con http status 200 in extraweb_access.log ;
- eventuale presenza di richieste a /wsproxy con parametri host sospetti con http status 101 in extraweb_access.log ;
- eventuale presenza di hotfix rollbacks con path traversal in ctrl-service.log ;
- eventuale presenza di rotte per gli endpoint /__api__/login o /__api__/logout in /var/lib/unit/conf.json (questi URIs non esistono in configurazione legittima).
Qualora siano rilevate evidenze di compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di adottare le seguenti misure:
- porre in isolamento e/o offline le appliance potenzialmente compromesse;
- preservare e raccogliere le evidenze disponibili, inclusi log di accesso, log di sistema e altri artefatti utili alle attività di analisi forense;
- verificare la presenza degli Indicatori di Compromissione (IOC) pubblicati dal vendor;
- aggiornare i sistemi alle versioni corrette rese disponibili da SonicWall;
- modificare le password degli utenti e degli amministratori;
- reimpostare gli eventuali token TOTP associati agli account interessati;
- in presenza di evidenze di compromissione, procedere al re-image delle appliance fisiche o al re-deployment di quelle virtuali;
- segnalare tempestivamente a questo CSIRT, tramite il portale https://segnalazioni.acn.gov.it/ l’evento occorso.
Riferimenti
CVE
| CVE-ID | |
|---|---|
| CVE-2026-15409 | CVE-2026-15410 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 15-07-2026 | 15/07/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
15 Luglio 2026, 15:08
CSIRT Toscana