Alerta Crítico: Vulnerabilidades Zero-Day no SonicWall SMA1000 Estão Sendo Exploradas
Aprofundamento CEVIU
Aprofundamento
A SonicWall confirmou que duas falhas zero-day no SMA1000 estão sendo exploradas em larga escala, e a CISA já as incluiu no catálogo KEV com prazo de correção de 72 horas para agências federais. A CVE-2026-15409 (CVSS 10,0) é uma SSRF sem necessidade de autenticação na interface Appliance Work Place: um atacante pode forçar o dispositivo a acessar sistemas internos ou externos como se fosse ele mesmo, expondo credenciais, dados sensíveis ou até pivotando para redes atrás do firewall. Já a CVE-2026-15410 (CVSS 7.2) permite execução remota de comandos no sistema operacional, mas só após autenticação como administrador. Isso significa que, se um invasor já tiver acesso legítimo ao AMC (por exemplo, via credential stuffing ou phishing), consegue assumir controle total do appliance.
Essa dupla é especialmente perigosa porque ataca justamente o ponto mais crítico da arquitetura de acesso seguro: o gateway que protege aplicações web, SaaS e recursos internos. Diferente de falhas em servidores de aplicação ou endpoints, aqui o alvo é o próprio controlador de acesso, o que amplifica o impacto para confidencialidade, integridade e disponibilidade simultaneamente. E não há workaround: só atualização imediata para os hotfixes 12.4.3-03453 ou 12.5.0-02835.
O que mudou
Não há cobertura anterior do CEVIU sobre o SMA1000 ou vulnerabilidades específicas nessa linha de produtos. Portanto, não há evolução documentada entre versões anteriores e esta exploração ativa, trata-se do primeiro alerta público e confirmado dessas falhas no histórico da redação.
Por que isso importa
Essa é a quinta falha crítica em dispositivos de segurança de rede reportada como explorada ativamente pela CISA em menos de dois meses, depois das falhas no Palo Alto GlobalProtect (1º e 8 de junho), Ivanti Sentry (16 de junho), Cisco SD-WAN (6 de março) e Microsoft SharePoint (5 de julho). O padrão mostra que atacantes estão priorizando gateways, firewalls e appliances de acesso seguro: são alvos de alto valor com grande superfície de ataque e impacto sistêmico. Empresas que ainda não revisaram suas políticas de atualização de firmware em equipamentos de rede devem tratar isso como um indicador claro de risco operacional, não como um incidente isolado.
Linha do tempo
Cisco descobre duas novas vulnerabilidades SD-WAN em exploração ativa
Falha crítica no Palo Alto GlobalProtect está sendo explorada ativamente
Falha crítica no PAN-OS da Palo Alto é explorada ativamente para burlar autenticação VPN
CISA exige correção em 72h de falha crítica no Ivanti Sentry já explorada em ataques reais
CISA alerta para exploração ativa de falha crítica de RCE no Microsoft SharePoint
Novas Falhas Críticas no U-Boot Exigem Atenção Urgente para Segurança de Dispositivos
Alerta Crítico: Vulnerabilidades Zero-Day no SonicWall SMA1000 Estão Sendo Exploradas
Perguntas frequentes
Quais modelos do SMA1000 são afetados?
Os modelos 6210, 7210 e 8200v. A SonicWall confirmou que as falhas existem nas versões platform-hotfix 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 e 12.5.0-02800. Nenhuma versão anterior à 12.4.3 está envolvida.
Existe algum workaround se não for possível atualizar imediatamente?
Não. A SonicWall foi explícita: não há mitigação alternativa. Bloquear o acesso à interface Appliance Work Place ou ao Appliance Management Console via rede pode reduzir a exposição, mas compromete a operação do dispositivo. A única solução eficaz é aplicar os hotfixes 12.4.3-03453 ou 12.5.0-02835.
O que fazer se suspeitar que o SMA1000 já foi comprometido?
A SonicWall recomenda análise forense imediata dos logs, procurando requisições anômalas na interface Appliance Work Place e comandos inesperados no AMC. Se houver indícios, a empresa orienta re-imagem completa de appliances físicos, re-implantação de virtuais, troca de todas as senhas de administradores e usuários, e redefinição de tokens TOTP.
Por que a CISA determinou correção em 72 horas?
Porque ambas as falhas já foram observadas em ataques reais contra organizações públicas e privadas. A CVE-2026-15409 permite acesso não autenticado e tem CVSS 10, a pontuação máxima. Isso coloca o SMA1000 no mesmo nível de risco que falhas já exploradas em Palo Alto, Ivanti e Cisco, exigindo resposta operacional imediata.
Fontes
- links.tldrnewsletter.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 16 de julho de 2026
- Editoria
- CEVIU Segurança da Informação
