Kritische Sicherheitslücken in SonicWall SMA1000 Series - aktiv ausgenutzt - Updates verfügbar

15. Juli 2026

Beschreibung

In den SonicWall SMA1000 Series Appliances existieren mehrere Sicherheitslücken. Die schwerwiegendere der beiden Schwachstellen ermöglicht es Angreifer:innen aus der Ferne und ohne Authentifizierung, die Appliance dazu zu bringen, serverseitig Anfragen an eigentlich nicht erreichbare interne Endpunkte zu senden (Server-Side Request Forgery). Laut SonicWall PSIRT werden die in diesem Advisory beschriebenen Schwachstellen bereits aktiv ausgenutzt.

CVE-Nummer(n): CVE-2026-15409, CVE-2026-15410

CVSS Base Score: 10.0

Auswirkungen

CVE-2026-15409 ist eine Server-Side-Request-Forgery-Schwachstelle (SSRF) im Work-Place-Interface der SMA1000 Appliance. Ein:e entfernte:r, nicht authentifizierte:r Angreifer:in kann die Appliance dazu bringen, serverseitig Anfragen an eigentlich nicht erreichbare interne Endpunkte zu senden. Der Hersteller gibt für diese Schwachstelle einen CVSS Base Score von 10.0 an.

CVE-2026-15410 ist eine Schwachstelle vom Typ „Improper Control of Generation of Code“ (Code Injection) in der Appliance Management Console (AMC), die es unter bestimmten Voraussetzungen einem:einer entfernten, als Administrator:in authentifizierten Angreifer:in ermöglichen kann, beliebige Betriebssystembefehle auszuführen. Der Hersteller gibt für diese Schwachstelle einen CVSS Base Score von 7.2 an.

Betroffene Systeme

Betroffen sind die SMA1000 Modelle 6210, 7210 und 8200v in folgenden Versionen:

  • 12.4.3-03245, 12.4.3-03387 und 12.4.3-03434 (platform-hotfix)
  • 12.5.0-02283, 12.5.0-02624 und 12.5.0-02800 (platform-hotfix)

Laut Hersteller sind SSL-VPN auf SonicWall-Firewalls sowie die SMA 100 Series Produktlinie nicht von diesen Schwachstellen betroffen.

Abhilfe

SonicWall stellt einen platform-hotfix bereit, der die Schwachstellen behebt:

  • 12.4.3-03453 (platform-hotfix) und höher
  • 12.5.0-02835 (platform-hotfix) und höher

Der aktuelle platform-hotfix steht auf mysonicwall.com zum Download bereit. Ein Workaround steht laut Hersteller nicht zur Verfügung.

Da eine aktive Ausnutzung beobachtet wurde, empfiehlt SonicWall zusätzlich, das System auf Anzeichen einer Kompromittierung (Indicators of Compromise) zu überprüfen. Dazu zählen unter anderem:

  • Einträge in extraweb_access.log mit Anfragen an /__api__/login oder /__api__/logout mit HTTP-Status 200
  • Einträge in extraweb_access.log mit Anfragen an /wsproxy mit auffälligen Host-Parametern und HTTP-Status 101
  • Einträge in ctrl-service.log mit Hotfix-Rollbacks mit Path-Traversal-Namen
  • Routen für /__api__/login oder /__api__/logout in /var/lib/unit/conf.json (diese URIs existieren in einer legitimen Konfiguration nicht)

Werden IOCs festgestellt, empfiehlt SonicWall, betroffene Appliances neu aufzusetzen (Hardware: re-image, virtuell: re-deploy), Benutzer:innen- und Administrator:innen-Passwörter zu ändern sowie TOTP-Token zurückzusetzen.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

SonicWall SMA1000 Series Appliances Affected By Multiple Vulnerabilities (Englisch)
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2026-0008