文章总结: SonicWall警告SMA1000设备遭两个0day漏洞活跃利用,涉及严重SSRF与代码注入。因无缓解措施,用户须立即升级热修复版本。管理员应排查特定日志寻找失陷指标,若确认被入侵需重置设备镜像、修改密码并重置TOTP。CISA已将其列入KEV目录要求限期修复。 综合评分: 78 文章分类: 漏洞预警,应急响应,网络安全,漏洞分析
SonicWall:立即修复已遭0day攻击利用的 SMA1000 漏洞
Lawrence Abrams Lawrence Abrams
代码卫士
2026年7月15日 16:22 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
SonicWall公司提醒称,威胁人员在0day漏洞攻击中组合利用了两个SMA1000漏洞CVE-2026-15409和CVE-2026-15410,客户应安装新发布的安全更新。
CVE-2026-15409是一个位于 SMA1000 Appliance Work Place 界面中的严重服务器端请求伪造漏洞 (CVSS 10分),可导致远程未经身份认证的攻击者强制设备向非预期位置发起请求。CVE-2026-15410是位于SMA1000 Appliance Management Console 中的一个高危认证后代码注入漏洞(CVSS 7.2),可导致远程认证管理员执行任意操作系统命令。虽然利用第二个漏洞要求具有管理员权限,但 SonicWall 仍将该安全公告给出CVSS 10分的整体评分。
SonicWall 公司提到已经调查多起事件,证实这两个漏洞正遭活跃利用。该公司“强烈建议客户尽快升级至热修复版本,修复这些漏洞”。不过该公司并未透露攻击者是否组合利用了这两个漏洞。
影响版本
这些漏洞影响运行平台热修复版本12.4.3-03245、12.4.3-03387、12.4.3-03434、12.5.0-02283、12.5.0-02624和12.5.0-02800的SMA1000型号6210、7210和8200v。修复版本可在平台热修复版本12.4.3-03453、12.5.0-02835及更高版本中获得。在SonicWall防火墙运行的SSL-VPN和SMA 100系列产品线均不受影响。
该公司还分享了失陷指标(IOC),管理员可用其判断设备是否已被入侵:
- 如果在extraweb_access.log中提及对/__api__/login或/__api__/logout的请求,且HTTP状态为200;
- 如果在extraweb_access.log中提及对/wsproxy的请求,且带有可疑主机参数及HTTP状态101;
- 如果在ctrl-service.log中提及带有路径遍历名称的热修复回滚操作;
- 如果/var/lib/unit/conf.json中包含指向/__api__/login或/__api__/logout的路由(这些URI在合法配置中并不存在)。
SonicWall强烈建议管理员升级到最新的热修复版本,并进行分析以确认是否存在上述任何失陷指标。如果发现设备已被入侵,该公司建议管理员对物理设备重新镜像,或重新部署虚拟设备,更改所有用户和管理员密码,并重置TOTP令牌。
SonicWall 公司还提到,除了安装热修复方案外,并不存在相关应变措施或缓解措施。美国网络安全和基础设施安全局 (CISA) 也将这两个漏洞纳入已知遭利用漏洞 (KEV) 列表,证实已遭活跃利用。CISA 要求联邦机构在7月17日保护受影响系统安全,或者如无法部署缓解措施则停用该产品。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
速修复这个已遭利用的 SonicWall SMA1000 0day漏洞
SonicWall SonicOS 中的高危漏洞可导致防火墙崩溃
SonicWall 云备份所有用户的防火墙配置均被盗
配置备份文件遭暴露 SonicWall 督促客户重置登录凭据
原文链接
https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Lawrence Abrams Lawrence Abrams《SonicWall:立即修复已遭0day攻击利用的 SMA1000 漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论