SonicWall:立即修复已遭0day攻击利用的SMA1000漏洞

admin 2026-07-16 04:49:21 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: SonicWall警告SMA1000设备遭两个0day漏洞活跃利用,涉及严重SSRF与代码注入。因无缓解措施,用户须立即升级热修复版本。管理员应排查特定日志寻找失陷指标,若确认被入侵需重置设备镜像、修改密码并重置TOTP。CISA已将其列入KEV目录要求限期修复。 综合评分: 78 文章分类: 漏洞预警,应急响应,网络安全,漏洞分析


cover_image

SonicWall:立即修复已遭0day攻击利用的 SMA1000 漏洞

Lawrence Abrams Lawrence Abrams

代码卫士

2026年7月15日 16:22 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

SonicWall公司提醒称,威胁人员在0day漏洞攻击中组合利用了两个SMA1000漏洞CVE-2026-15409CVE-2026-15410,客户应安装新发布的安全更新。

CVE-2026-15409是一个位于 SMA1000 Appliance Work Place 界面中的严重服务器端请求伪造漏洞 (CVSS 10分),可导致远程未经身份认证的攻击者强制设备向非预期位置发起请求。CVE-2026-15410是位于SMA1000 Appliance Management Console 中的一个高危认证后代码注入漏洞(CVSS 7.2),可导致远程认证管理员执行任意操作系统命令。虽然利用第二个漏洞要求具有管理员权限,但 SonicWall 仍将该安全公告给出CVSS 10分的整体评分。

SonicWall 公司提到已经调查多起事件,证实这两个漏洞正遭活跃利用。该公司“强烈建议客户尽快升级至热修复版本,修复这些漏洞”。不过该公司并未透露攻击者是否组合利用了这两个漏洞。

影响版本

这些漏洞影响运行平台热修复版本12.4.3-03245、12.4.3-03387、12.4.3-03434、12.5.0-02283、12.5.0-02624和12.5.0-02800的SMA1000型号6210、7210和8200v。修复版本可在平台热修复版本12.4.3-03453、12.5.0-02835及更高版本中获得。在SonicWall防火墙运行的SSL-VPN和SMA 100系列产品线均不受影响。

该公司还分享了失陷指标(IOC),管理员可用其判断设备是否已被入侵:

  • 如果在extraweb_access.log中提及对/__api__/login或/__api__/logout的请求,且HTTP状态为200;
  • 如果在extraweb_access.log中提及对/wsproxy的请求,且带有可疑主机参数及HTTP状态101;
  • 如果在ctrl-service.log中提及带有路径遍历名称的热修复回滚操作;
  • 如果/var/lib/unit/conf.json中包含指向/__api__/login或/__api__/logout的路由(这些URI在合法配置中并不存在)。

SonicWall强烈建议管理员升级到最新的热修复版本,并进行分析以确认是否存在上述任何失陷指标。如果发现设备已被入侵,该公司建议管理员对物理设备重新镜像,或重新部署虚拟设备,更改所有用户和管理员密码,并重置TOTP令牌。

SonicWall 公司还提到,除了安装热修复方案外,并不存在相关应变措施或缓解措施。美国网络安全和基础设施安全局 (CISA) 也将这两个漏洞纳入已知遭利用漏洞 (KEV) 列表,证实已遭活跃利用。CISA 要求联邦机构在7月17日保护受影响系统安全,或者如无法部署缓解措施则停用该产品。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

速修复这个已遭利用的 SonicWall SMA1000 0day漏洞

SonicWall SonicOS 中的高危漏洞可导致防火墙崩溃

SonicWall 云备份所有用户的防火墙配置均被盗

配置备份文件遭暴露 SonicWall 督促客户重置登录凭据

原文链接

https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-sma1000-flaws-exploited-in-zero-day-attacks-patch-now/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Lawrence Abrams Lawrence Abrams《SonicWall:立即修复已遭0day攻击利用的 SMA1000 漏洞》

评论:0   参与:  0