En bref

  • CVE-2026-15409 (CVSS 10.0) : SSRF non-authentifiée dans le Work Place SonicWall SMA1000, exploitée activement depuis le 14 juillet 2026
  • Appliances affectées : SMA6210, SMA7210, SMA8200v — passerelles d'accès distant enterprise
  • Patcher immédiatement vers v12.4.3-03453 ou v12.5.0-02835 ; deadline CISA BOD 26-04 le 17 juillet pour agences fédérales

Les faits

Le 14 juillet 2026, SonicWall a émis un avis de sécurité en urgence signalant l'exploitation active de deux vulnérabilités dans ses appliances SMA1000 (Secure Mobile Access). Ces équipements constituent des passerelles VPN et d'accès distant déployées par des milliers d'organisations dans le monde, ce qui en fait des cibles de premier plan pour les acteurs cherchant un accès initial aux réseaux d'entreprise.

La première vulnérabilité, CVE-2026-15409, est une faille de type Server-Side Request Forgery (SSRF) dans l'interface Work Place de la gamme SMA1000. Avec un score CVSS de 10.0 — le maximum absolu —, elle permet à n'importe quel attaquant distant non authentifié de contraindre l'appliance à émettre des requêtes vers des destinations arbitraires, qu'il s'agisse de systèmes internes, de consoles d'administration ou de services de gestion d'infrastructure normalement protégés par le périmètre réseau. En pratique, cette capacité transforme un équipement de sécurité censé défendre le réseau en vecteur de pivotement direct vers des ressources sensibles.

La seconde vulnérabilité, CVE-2026-15410 (CVSS 7.2), est une injection de code dans la console de gestion AMC (Appliance Management Console). Elle nécessite des droits administrateur sur l'appliance, mais son exploitation permet l'exécution de commandes OS arbitraires sur l'équipement lui-même. Dans les chaînes d'attaque observées, les deux CVE sont utilisées en tandem : CVE-2026-15409 sert à reconnaître l'environnement interne ou à accéder à des services d'administration exposés uniquement en interne, tandis que CVE-2026-15410 est exploitée une fois un compte administrateur compromis pour obtenir l'exécution de code persistante sur l'appliance.

SonicWall a confirmé que l'exploitation active vise les SMA6210, SMA7210 et SMA8200v, couvrant l'ensemble de la gamme SMA1000 dédiée aux entreprises. La CISA a immédiatement ajouté les deux CVE à son catalogue Known Exploited Vulnerabilities (KEV) le 14 juillet 2026, imposant aux agences fédérales américaines de corriger ou d'arrêter l'utilisation de ces appliances avant le 17 juillet 2026 en vertu de la Binding Operational Directive BOD 26-04 — soit moins de 72 heures après la divulgation publique.

Selon Help Net Security et BleepingComputer, SonicWall avait notifié directement les clients impactés avant la publication de l'advisory, une pratique généralement réservée aux situations où une exploitation ciblée a été confirmée dans des environnements réels. Cela signifie que des intrusions réelles ont vraisemblablement précédé la divulgation publique, avec des victimes qui l'ignoraient jusqu'à cet avis.

Les appliances SMA1000 sont exposées sur internet par conception — c'est leur fonction d'accès distant qui l'impose. Une SSRF sans authentification sur ce type de composant représente donc un risque immédiat : tout attaquant dispose d'une surface d'attaque accessible depuis n'importe quel point d'internet, sans avoir à contourner le moindre contrôle d'accès préalable. Les scénarios d'exploitation vont de la reconnaissance réseau interne à la compromission de services d'administration non exposés directement, en passant par l'accès à des credentials stockés sur des systèmes internes.

L'historique récent de SonicWall est préoccupant : CVE-2021-20028 dans les appliances SMA avait déjà été exploitée massivement ; en 2024, plusieurs vulnérabilités ciblaient les SonicOS et SMA 100 Series ; et en 2025, le groupe UNC4540 avait été lié à des intrusions via des équipements SonicWall non patchés. Ce schéma répété de vulnérabilités critiques dans les appliances d'accès distant n'est pas propre à SonicWall : FortiGate (FortiBleed), Ivanti Connect Secure, Palo Alto PAN-OS et Citrix NetScaler ont tous connu des exploitations zero-day actives sur la même période.

À l'heure de publication, aucune attribution formelle n'a été rendue publique concernant les acteurs exploitant CVE-2026-15409 et CVE-2026-15410. La CISA recommande aux organisations de traiter ces appliances non patchées comme potentiellement compromises, et d'initier une investigation forensique des journaux d'accès sur une fenêtre d'au moins 90 jours.

Impact et exposition

Toute organisation utilisant les appliances SonicWall SMA6210, SMA7210 ou SMA8200v comme passerelle d'accès distant est directement exposée. CVE-2026-15409 étant exploitable sans authentification sur l'interface publique Work Place, l'exposition est immédiate dès lors que l'appliance est accessible depuis internet. L'exploitation permet le pivotement vers des ressources internes, la collecte de credentials d'authentification internes, et dans les pires cas la compromission totale du réseau si l'appliance dispose d'accès privilégiés — ce qui est la norme dans les déploiements enterprise. La chaîne CVE-2026-15409 + CVE-2026-15410 permet en outre une persistance directement sur l'équipement, invisible aux solutions EDR classiques déployées sur les endpoints.

Recommandations

  • Appliquer immédiatement le firmware v12.4.3-03453 (branche 12.4) ou v12.5.0-02835 (branche 12.5) depuis le portail MySonicWall
  • Auditer les journaux AMC et Work Place pour toute activité anormale depuis le 1er juin 2026
  • Restreindre l'accès à l'interface AMC aux seules adresses IP d'administration en liste blanche si le patch ne peut être appliqué immédiatement
  • Réinitialiser tous les comptes administrateurs sur l'appliance et révoquer les sessions actives
  • Surveiller les connexions internes inhabituelles émanant de l'adresse IP de l'appliance SMA dans les logs réseau et SIEM
  • Considérer une investigation forensique si des connexions internes anormales sont détectées avant le patch

Alerte critique

CVE-2026-15409 est noté CVSS 10.0 et exploité activement sans nécessiter d'authentification. Toute appliance SonicWall SMA1000 accessible depuis internet doit être considérée comme potentiellement compromise si le firmware n'est pas à jour. La deadline CISA est le 17 juillet 2026. Le risque de ne pas patcher dépasse largement le risque d'une mise à jour en urgence.

Nos SMA1000 sont derrière un WAF — sommes-nous protégés ?

Non. Un WAF standard ne filtre pas les requêtes SSRF côté applicatif — il voit des requêtes HTTP légitimes vers l'interface Work Place et ne peut distinguer une requête SSRF malveillante d'une requête utilisateur normale. Une règle WAF ciblant des patterns SSRF spécifiques peut réduire le risque mais ne constitue pas une remédiation suffisante face à un CVSS 10.0 avec exploitation active confirmée. La seule protection efficace est l'application du patch ou, si impossible immédiatement, l'isolation totale de l'appliance d'internet.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit