SonicWall ha pubblicato il 14 luglio 2026 l'advisory per due vulnerabilità zero-day attivamente sfruttate negli appliance SMA 1000 Series. La novità non è la criticità delle falle, bensì la risposta post-patch: il vendor richiede il re-imaging fisico o il re-deploy virtuale dell'appliance, insieme alla rotazione di tutte le credenziali e dei token TOTP. È una rottura esplicita con il paradigma del "patch and forget", un segnale che gli attaccanti ottengono persistenza totale prima che il difensore possa reagire.
- CVE-2026-15409 è una SSRF critica sfruttabile senza autenticazione nell'interfaccia SMA1000 Appliance Work Place.
- CVE-2026-15410 è una code injection ad alta severità nell'Appliance Management Console, sfruttabile da remoto con autenticazione admin per esecuzione di comandi arbitrari.
- Le due vulnerabilità sono state osservate essere sfruttate in tandem negli attacchi in-the-wild.
- SonicWall richiede re-imaging o re-deploy post-patch, cambio password utente/admin e reset TOTP se presenti indicatori di compromissione.
Il chaining che aggira la segmentazione classica
La struttura dell'attacco osservato dalla fonte segue un pattern che elude le difese per strati. CVE-2026-15409, la SSRF unauthenticated, costringe l'appliance a contattare endpoint interni o esterni non autorizzati. Questo primo passo, accessibile da Internet senza credenziali, probabilmente abilita o facilita il secondo stadio: la code injection CVE-2026-15410, che richiede invece autenticazione come amministratore nell'Appliance Management Console.
La fonte non dettaglia il meccanismo preciso con cui gli attaccanti superano il salto da SSRF anonima a sessione admin autenticata. Il dossier non specifica se la SSRF esponga token, sessioni o servizi interni che consentano il passaggio. Ciò che è documentato è la conferma di SonicWall: le due falle sono sfruttate in tandem e la compromissione è sufficientemente profonda da rendere insufficiente l'aggiornamento firmware.
Il requisito del re-imaging: un tabù rotto
"We have confirmed that these vulnerabilities are being actively exploited in the wild and are not unique to SonicWall" — SonicWall spokesperson
La raccomandazione di re-imaging (per hardware) o re-deploy (per virtual appliance) è rara nel settore dei dispositivi di rete edge. SonicWall la giustifica con la consapevolezza che la persistenza dell'attaccante sopravvive alla patch: il firmware aggiornato non elimina backdoor o modifiche al filesystem operativo precedenti all'installazione.
Accanto al re-imaging, il vendor impone tre azioni aggiuntive: cambio delle password utente, cambio delle password amministratore, reset dei token TOTP. La combinazione suggerisce che gli attaccanti, una volta dentro, accedano a credenziali conservate nell'appliance o compromettano il meccanismo di autenticazione a due fattori. La fonte non elenca il contenuto esatto degli indicatori di compromissione citati nell'advisory.
Modelli affetti e versioni corrette
I dispositivi coinvolti sono tre modelli della serie SMA 1000: SMA6210, SMA7210 e SMA8200v. Le versioni firmware che correggono entrambe le vulnerabilità sono la v12.4.3-03453 e la 12.5.0-02835. SonicWall ha distribuito hotfix anticipati ai clienti prima della pubblicazione dell'advisory del 14 luglio 2026, indicando che la scoperta è avvenuta con margine sufficiente per un pre-alert mirato.
Adam Babis del SonicWall PSIRT è accreditato per la scoperta delle due falle. La fonte non specifica se la segnalazione sia stata interna o se derivi da un report esterno coordinato.
Perche è importante
Il dossier non documenta misure correttive specifiche oltre al re-imaging e alla rotazione delle credenziali. Non emerge alcuna sovrapposizione infrastrutturale che colleghi gli attuali attacchi a un threat actor noto allo stato attuale. La fonte non specifica la natura esatta dei dati esposti, il numero di vittime, le regioni geografiche interessate né la data di inizio dell'exploitation: l'indicazione "upon discovery" resta vaga sulla timeline.
Il significato della dichiarazione "not unique to SonicWall" — rilasciata dallo spokesperson — rimane non specificato: implica che vendor o prodotti analoghi possano essere affetti da vulnerabilità simili, ma il dossier non nomina altri target. Non risulta confermata né smentita la disponibilità di exploit pubblici o proof-of-concept.
Il caso colloca gli appliance VPN edge in una posizione di rischio strutturale riconfermata. Il pattern di chaining da SSRF unauthenticated a RCE autenticato, con persistenza che sopravvive alla patch, indica che gli attaccanti trattano questi dispositivi come punti d'ingresso privilegiati nella rete interna, non come semplici gateway perimetrali.
Cosa fare adesso
- Applicare immediatamente il firmware v12.4.3-03453 o 12.5.0-02835 su SMA6210, SMA7210 e SMA8200v.
- Eseguire il re-imaging fisico o il re-deploy virtuale dell'appliance, anche dopo l'aggiornamento.
- Cambiare tutte le password utente e amministratore, quindi resettare i token TOTP.
- Verificare i log alla ricerca degli indicatori di compromissione citati nell'advisory SonicWall.
Il pattern ricorrente degli SMA nel mirino
Gli appliance SonicWall SMA rappresentano un bersaglio ricorrente nel panorama delle minacce. Il dossier riporta precedenti zero-day sulla serie SMA 1000, come CVE-2025-23006 di gennaio 2025, e attacchi a prodotti correlati della famiglia SMA 100. Queste fonti di contesto storico, tuttavia, non supportano direttamente la claim tecnica delle vulnerabilità del 2026: ciascun incidente ha architettura, CVE e vettori propri.
La lettura è che i gateway VPN edge concentrino attrattiva e superficie d'attacco in misura crescente. La raccomandazione di re-imaging, fino a ieri eccezione, potrebbe presto diventare standard per questa classe di dispositivi.
Le informazioni sono basate sull'advisory citato e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/07/14/sonicwall-sma-attacks-via-cve-2026-15409-cve-2026-15410/
- https://research.checkpoint.com/2026/13th-july-threat-intelligence-report/
- https://www.helpnetsecurity.com/2025/12/17/sonicwall-cve-2025-40602/
- https://www.helpnetsecurity.com/2025/01/23/sonicwall-sma-1000-exploited-zero-day-cve-2025-23006/
- https://www.helpnetsecurity.com/2025/04/18/sonicwall-sma100-vulnerability-exploited-by-attackers-cve-2021-20035/
- https://www.helpnetsecurity.com/2025/05/02/sonicwall-cve-2024-38475-cve-2023-44221-exploited/
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.