SonicWall : 3 CVE Gen6/7/8, désactivez l'admin web

Ce qui s'est passé

SonicWall a publié le 29 avril 2026 un bulletin de sécurité référencé SNWLID-2026-0004 qui révèle trois vulnérabilités distinctes mais cumulables dans le système d'exploitation SonicOS. Toutes trois concernent à la fois les générations matérielles 6, 7 et 8 du constructeur, ce qui couvre l'écrasante majorité des appliances déployées chez les clients entreprises et MSP. Le constructeur classe la triple publication en « priorité haute » et invite ses partenaires à patcher dans les jours qui suivent, sans attendre une fenêtre de maintenance classique.

La première faille, CVE-2026-0204, est un contournement de contrôle d'accès noté CVSS 8.0. SonicWall décrit un mécanisme d'authentification défaillant qui permet à un attaquant distant d'invoquer certaines fonctions de l'interface de management sans présenter d'identifiants valides, sous réserve que l'interface web soit exposée. Concrètement, un acteur malveillant peut interroger des endpoints habituellement réservés aux administrateurs, modifier la configuration du pare-feu, désactiver des protections, ou élever ses privilèges en chaînant la faille avec d'autres bugs déjà connus. La faiblesse se loge dans la couche d'authentification HTTP qui valide insuffisamment certains paramètres de session, selon la documentation publiée par le constructeur.

Deuxième faille, CVE-2026-0205, est un path traversal post-authentification, classé CWE-35, avec un score CVSS de 6.8. Pour l'exploiter, un attaquant doit déjà disposer d'un compte utilisateur valide, mais les permissions requises sont faibles. En manipulant des séquences de type ../../etc/passwd ou des variantes URL-encodées, il peut accéder à des fichiers de configuration, lire des secrets stockés sur l'appliance ou détourner des appels API qui ne sont pas censés être atteints depuis le compte utilisé. Le scénario d'abus typique est celui d'un compte de lecture seule détourné en vecteur d'exfiltration des règles, des journaux et des configurations VPN.

Troisième faille, CVE-2026-0206, est un débordement de buffer pile post-authentification, CWE-121, CVSS 4.9. La note est faussement rassurante : un attaquant disposant d'identifiants à privilèges élevés peut envoyer un paquet spécialement formé à un service post-auth, en particulier le composant SSL-VPN, pour provoquer l'arrêt immédiat du firewall. SonicWall reconnaît un déni de service complet, sans intervention possible jusqu'au redémarrage manuel ou automatique. Sur des sites multi-sites où le pare-feu est aussi le concentrateur VPN, l'effet est une déconnexion totale du tunnel et l'arrêt du trafic métier.

Le périmètre matériel est large. Les Gen6 sont vulnérables jusqu'à la version 6.5.5.1-6n incluse. Les Gen7 sont touchées sur les branches 7.0.1-5169 et 7.3.1-7013 et antérieures. Les Gen8, plus récentes, partagent la même base de code et sont également couvertes par l'avis. Les versions virtuelles NSv et les déclinaisons cloud ne sont pas épargnées, ce qui rend l'inventaire plus complexe pour les équipes qui exploitent un parc hétérogène.

SonicWall publie des firmwares correctifs spécifiques à chaque génération et intègre les patches aux versions de maintenance courantes. Tant que la mise à jour n'est pas appliquée, le PSIRT du constructeur formule plusieurs recommandations radicales : désactiver complètement la gestion HTTP et HTTPS sur toutes les interfaces externes et internes, désactiver le SSL-VPN tant qu'il n'est pas patché, et limiter l'accès administratif au protocole SSH avec authentification clé. Pour les clients qui ne peuvent pas couper le SSL-VPN, le constructeur conseille au minimum de restreindre l'accès aux plages IP autorisées via une ACL et d'imposer un facteur supplémentaire d'authentification.

Selon les premières analyses publiées par SecurityWeek et plusieurs équipes de threat intelligence, aucune exploitation publique n'est encore documentée. Mais la combinaison entre la simplicité d'attaque, la grande surface d'exposition et l'historique récent du vendor incite à la prudence. SonicWall a connu plusieurs vagues d'exploitation actives ces derniers mois sur ses appliances Gen7 SSL-VPN, et le réflexe des opérateurs de ransomware est désormais d'intégrer ce type d'avis dans leurs scanners dès la publication. Le délai entre publication d'un CVE et exploitation industrielle est tombé en moyenne sous les sept jours pour les vulnérabilités critiques de pare-feux.

Côté détection, l'éditeur propose des signatures IPS dédiées et recommande l'analyse des logs de management pour détecter les requêtes anormales sur les endpoints non documentés. Les indicateurs de compromission restent limités à ce stade, mais une augmentation soudaine de tentatives d'authentification ou des appels API sur l'interface 4444/8443 doit déclencher une investigation. Les MSP qui pilotent plusieurs centaines d'appliances sont les premiers concernés et plusieurs d'entre eux ont déjà publié des plans de patching d'urgence pour leurs clients.

Pourquoi c'est important

Les pare-feux périmétriques sont devenus une cible structurelle des attaquants depuis 2024. Les écosystèmes Fortinet, Cisco, Palo Alto, Ivanti, Check Point et SonicWall ont tous connu au moins une exploitation massive, généralement sur la couche VPN SSL ou IPsec. SonicWall n'échappe pas à la règle et la triple publication SNWLID-2026-0004 s'inscrit dans une série de bulletins critiques publiés par le constructeur depuis dix-huit mois. Les chaînes d'exploitation reposent presque toujours sur le même schéma : un contournement d'authentification ouvre la porte, une seconde faille permet la lecture de configuration ou l'exécution de code, et une troisième transforme l'appliance en point d'entrée durable dans le SI.

La conséquence opérationnelle est claire : un pare-feu compromis ne se réduit pas à une faille périmétrique, c'est un agent qui voit l'intégralité du trafic, qui termine les VPN utilisateurs, et qui contient potentiellement des credentials AD ou Radius en mémoire. Les groupes ransomware spécialisés dans l'accès initial, comme Akira ou ses dérivés, automatisent la collecte de ces accès et les revendent à des opérateurs de chiffrement dans les heures qui suivent. La fenêtre entre la publication d'un avis et la mise à disposition d'un exploit publié sur des forums type Breach Forums se réduit régulièrement.

Pour les entreprises françaises et européennes, le calendrier réglementaire ajoute une pression supplémentaire. NIS2 impose une obligation de gestion des vulnérabilités documentée et une notification rapide en cas d'incident, sous peine de sanctions administratives. La directive considère les pare-feux comme des actifs critiques de la chaîne de sécurité et toute exploitation prouvée déclenche les obligations de notification dans les 24 à 72 heures. Côté assurance cyber, les conditions de garantie incluent désormais des clauses explicites sur le délai de patch des appliances réseau exposées : un délai supérieur à 14 jours après publication d'un avis critique peut conduire à un refus de prise en charge.

Au-delà de l'urgence opérationnelle, l'épisode rappelle aux RSSI qu'un firewall n'est plus une boîte de confiance. Les bonnes pratiques de durcissement remontent au premier plan : désactiver toute gestion exposée sur Internet, segmenter strictement le réseau de management, monitorer les sessions VPN avec une corrélation EDR sur les machines client, et tester régulièrement les procédures de réinstallation rapide en cas de compromission. La mise à niveau vers Gen8 ne dispense pas de ces contrôles, comme le démontre la couverture identique de l'avis sur les trois générations.

Ce qu'il faut retenir

• Patcher SonicOS sur toutes les générations 6, 7 et 8 dans les meilleurs délais, en commençant par les appliances exposées sur Internet.
• Désactiver immédiatement la gestion HTTP/HTTPS exposée et le SSL-VPN si la mise à jour n'est pas applicable sous 48 heures.
• Auditer les logs de management des 30 derniers jours et corréler avec les sessions VPN inhabituelles pour détecter une éventuelle compromission préalable.