SonicWall alerta de dos zero-days activos en sus equipos SMA1000

Dos fallas en los appliances SMA1000, una con severidad máxima, están siendo explotadas en conjunto para tomar control de los equipos y robar credenciales y semillas de MFA.

SonicWall advirtió que actores de amenaza están explotando dos vulnerabilidades zero-day en sus appliances SMA1000, rastreadas como CVE-2026-15409 y CVE-2026-15410. La compañía investigó múltiples incidentes y confirmó que ambas fallas están bajo explotación activa, usadas en conjunto.

Las dos fallas

CVE-2026-15409 es una vulnerabilidad crítica de falsificación de solicitud del lado del servidor (SSRF) con severidad máxima (CVSS 10.0) en la interfaz Work Place del SMA1000. Permite a un atacante remoto y no autenticado forzar al appliance a realizar solicitudes hacia ubicaciones no previstas. CVE-2026-15410 es una falla de inyección de código post-autenticación (CVSS 7.2) en la consola de administración, que permite a un administrador remoto autenticado ejecutar comandos arbitrarios del sistema operativo.

Qué buscan los atacantes

En los ataques observados, las dos fallas se explotan en tandem para lograr acceso inicial sigiloso. Una vez con presencia en el equipo, los atacantes extraen credenciales de alto valor, bases de datos de sesiones activas y configuraciones de semillas TOTP de la autenticación multifactor. Las vulnerabilidades afectan a los appliances SMA6210, SMA7210 y SMA8200v. Las agencias federales de EE.UU. tienen hasta el 17 de julio para asegurar los sistemas afectados bajo la directiva BOD 26-04, o discontinuar el producto si no pueden aplicar mitigaciones.

Lectura Tabuga Intelligence

El robo de semillas TOTP es el detalle que eleva la gravedad. Cuando un atacante captura las semillas de MFA, puede regenerar los códigos de un solo uso y anular la segunda capa de autenticación que muchas organizaciones consideran su red de seguridad. Los equipos de acceso remoto son puerta de entrada a toda la infraestructura, así que un compromiso en el perímetro se traduce en acceso al interior. Para cualquier organización dominicana con estos appliances, la acción es inmediata: parchar, rotar credenciales y regenerar las semillas de MFA.

Fuente: BleepingComputer, 14 de julio de 2026 — bleepingcomputer.com.