Duas vulnerabilidades recentemente relatadas nos dispositivos Secure Mobile Access (SMA) da SonicWall foram exploradas como dia zero por um grande grupo de ransomware.
Em 14 de julho, o fornecedor de segurança cibernética SonicWall publicou um comunicado de segurança sobre duas vulnerabilidades em seus dispositivos SMA Série 1000, CVE-2026-15409 e CVE-2026-15410. Juntos, eles poderiam permitir que qualquer invasor aleatório e não autenticado obtivesse poderes de execução remota de código (RCE) e, em seguida, executasse comandos na caixa no nível raiz.
Na verdade, isso já está acontecendo. De acordo com a telemetria do Rapid7, um ator de ameaça conectado ao infame grupo Inc de ransomware como serviço (RaaS) tem usado CVE-2026-15409 e CVE-2026-15410 como dia zero, penetrando em várias redes corporativas, varrendo credenciais e preparando o terreno para a implantação de ransomware.
Se você tivesse que escolher entre as duas falhas, CVE-2026-15409 deveria merecer preocupação especial. É um problema de falsificação de solicitação do lado do servidor (SSRF) na interface da Web "Work Place" do SMA, que permite que transeuntes na Internet criem solicitações da Web que enganam o portal para que faça solicitações em seu nome para serviços internos e de outra forma bloqueados. Não requer autenticação e obteve uma pontuação máxima de 10 em 10 no Common Vulnerability Scoring System (CVSS).
CVE-2026-15410 obteve uma pontuação CVSS menor, mas ainda alta, de 7,2 em 10, pois exige que um invasor já seja capaz de acessar o Appliance Management Console (AMC) — a interface de usuário administrativa (IU) para um dispositivo já acessível. Se estiverem, eles podem usar essa vulnerabilidade de injeção de código para executar comandos arbitrários no nível do sistema operacional (SO).
As duas vulnerabilidades são provavelmente mais poderosas quando combinadas. A SonicWall não descreveu exatamente como os invasores os têm acorrentado. Mas, de acordo com o Rapid7, os invasores podem explorar o CVE-2026-15409 para estabelecer a execução do código e, em seguida, migrar para o CVE-2026-15410 para completar a escalada de um estranho não autenticado para um insider no nível raiz. Os pesquisadores publicaram uma exploração de prova de conceito (PoC) para a vulnerabilidade anterior no GitHub.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou CVE-2026-15409 e CVE-2026-15410 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 14 de julho.
As informações são do site Dark Reading