Deux zero-days SonicWall SMA1000 (CVE-2026-15409 CVSS 10.0 + CVE-2026-15410 CVSS 7.2) exploités en tandem depuis le 14 juillet 2026. Patch disponible, deadline CISA fixée au 17 juillet.
En bref
- CVE-2026-15409 (CVSS 10.0) : SSRF non-authentifiée dans le Work Place SonicWall SMA1000, exploitée activement depuis le 14 juillet 2026
- Appliances affectées : SMA6210, SMA7210, SMA8200v — passerelles d'accès distant enterprise
- Patcher immédiatement vers v12.4.3-03453 ou v12.5.0-02835 ; deadline CISA BOD 26-04 le 17 juillet pour agences fédérales
Les faits
Le 14 juillet 2026, SonicWall a émis un avis de sécurité en urgence signalant l'exploitation active de deux vulnérabilités dans ses appliances SMA1000 (Secure Mobile Access). Ces équipements constituent des passerelles VPN et d'accès distant déployées par des milliers d'organisations dans le monde, ce qui en fait des cibles de premier plan pour les acteurs cherchant un accès initial aux réseaux d'entreprise.
La première vulnérabilité, CVE-2026-15409, est une faille de type Server-Side Request Forgery (SSRF) dans l'interface Work Place de la gamme SMA1000. Avec un score CVSS de 10.0 — le maximum absolu —, elle permet à n'importe quel attaquant distant non authentifié de contraindre l'appliance à émettre des requêtes vers des destinations arbitraires, qu'il s'agisse de systèmes internes, de consoles d'administration ou de services de gestion d'infrastructure normalement protégés par le périmètre réseau. En pratique, cette capacité transforme un équipement de sécurité censé défendre le réseau en vecteur de pivotement direct vers des ressources sensibles.
La seconde vulnérabilité, CVE-2026-15410 (CVSS 7.2), est une injection de code dans la console de gestion AMC (Appliance Management Console). Elle nécessite des droits administrateur sur l'appliance, mais son exploitation permet l'exécution de commandes OS arbitraires sur l'équipement lui-même. Dans les chaînes d'attaque observées, les deux CVE sont utilisées en tandem : CVE-2026-15409 sert à reconnaître l'environnement interne ou à accéder à des services d'administration exposés uniquement en interne, tandis que CVE-2026-15410 est exploitée une fois un compte administrateur compromis pour obtenir l'exécution de code persistante sur l'appliance.
SonicWall a confirmé que l'exploitation active vise les SMA6210, SMA7210 et SMA8200v, couvrant l'ensemble de la gamme SMA1000 dédiée aux entreprises. La CISA a immédiatement ajouté les deux CVE à son catalogue Known Exploited Vulnerabilities (KEV) le 14 juillet 2026, imposant aux agences fédérales américaines de corriger ou d'arrêter l'utilisation de ces appliances avant le 17 juillet 2026 en vertu de la Binding Operational Directive BOD 26-04 — soit moins de 72 heures après la divulgation publique.
Selon Help Net Security et BleepingComputer, SonicWall avait notifié directement les clients impactés avant la publication de l'advisory, une pratique généralement réservée aux situations où une exploitation ciblée a été confirmée dans des environnements réels. Cela signifie que des intrusions réelles ont vraisemblablement précédé la divulgation publique, avec des victimes qui l'ignoraient jusqu'à cet avis.
Les appliances SMA1000 sont exposées sur internet par conception — c'est leur fonction d'accès distant qui l'impose. Une SSRF sans authentification sur ce type de composant représente donc un risque immédiat : tout attaquant dispose d'une surface d'attaque accessible depuis n'importe quel point d'internet, sans avoir à contourner le moindre contrôle d'accès préalable. Les scénarios d'exploitation vont de la reconnaissance réseau interne à la compromission de services d'administration non exposés directement, en passant par l'accès à des credentials stockés sur des systèmes internes.
L'historique récent de SonicWall est préoccupant : CVE-2021-20028 dans les appliances SMA avait déjà été exploitée massivement ; en 2024, plusieurs vulnérabilités ciblaient les SonicOS et SMA 100 Series ; et en 2025, le groupe UNC4540 avait été lié à des intrusions via des équipements SonicWall non patchés. Ce schéma répété de vulnérabilités critiques dans les appliances d'accès distant n'est pas propre à SonicWall : FortiGate (FortiBleed), Ivanti Connect Secure, Palo Alto PAN-OS et Citrix NetScaler ont tous connu des exploitations zero-day actives sur la même période.
À l'heure de publication, aucune attribution formelle n'a été rendue publique concernant les acteurs exploitant CVE-2026-15409 et CVE-2026-15410. La CISA recommande aux organisations de traiter ces appliances non patchées comme potentiellement compromises, et d'initier une investigation forensique des journaux d'accès sur une fenêtre d'au moins 90 jours.
Impact et exposition
Toute organisation utilisant les appliances SonicWall SMA6210, SMA7210 ou SMA8200v comme passerelle d'accès distant est directement exposée. CVE-2026-15409 étant exploitable sans authentification sur l'interface publique Work Place, l'exposition est immédiate dès lors que l'appliance est accessible depuis internet. L'exploitation permet le pivotement vers des ressources internes, la collecte de credentials d'authentification internes, et dans les pires cas la compromission totale du réseau si l'appliance dispose d'accès privilégiés — ce qui est la norme dans les déploiements enterprise. La chaîne CVE-2026-15409 + CVE-2026-15410 permet en outre une persistance directement sur l'équipement, invisible aux solutions EDR classiques déployées sur les endpoints.
Recommandations
- Appliquer immédiatement le firmware v12.4.3-03453 (branche 12.4) ou v12.5.0-02835 (branche 12.5) depuis le portail MySonicWall
- Auditer les journaux AMC et Work Place pour toute activité anormale depuis le 1er juin 2026
- Restreindre l'accès à l'interface AMC aux seules adresses IP d'administration en liste blanche si le patch ne peut être appliqué immédiatement
- Réinitialiser tous les comptes administrateurs sur l'appliance et révoquer les sessions actives
- Surveiller les connexions internes inhabituelles émanant de l'adresse IP de l'appliance SMA dans les logs réseau et SIEM
- Considérer une investigation forensique si des connexions internes anormales sont détectées avant le patch
Alerte critique
CVE-2026-15409 est noté CVSS 10.0 et exploité activement sans nécessiter d'authentification. Toute appliance SonicWall SMA1000 accessible depuis internet doit être considérée comme potentiellement compromise si le firmware n'est pas à jour. La deadline CISA est le 17 juillet 2026. Le risque de ne pas patcher dépasse largement le risque d'une mise à jour en urgence.
Nos SMA1000 sont derrière un WAF — sommes-nous protégés ?
Non. Un WAF standard ne filtre pas les requêtes SSRF côté applicatif — il voit des requêtes HTTP légitimes vers l'interface Work Place et ne peut distinguer une requête SSRF malveillante d'une requête utilisateur normale. Une règle WAF ciblant des patterns SSRF spécifiques peut réduire le risque mais ne constitue pas une remédiation suffisante face à un CVSS 10.0 avec exploitation active confirmée. La seule protection efficace est l'application du patch ou, si impossible immédiatement, l'isolation totale de l'appliance d'internet.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-57092 : évasion de VM Hyper-V CVSS 9.9 dans Windows VMSwitch
CVE-2026-57092, use-after-free CVSS 9.9 dans Windows VMSwitch, permet à un attaquant peu privilégié d'escalader ses droits jusqu'à compromettre l'hôte Hyper-V depuis une VM guest. Patcher en priorité absolue.
FortiBleed : 430 000 firewalls FortiGate et 110 millions de credentials livrés à INC et Lynx
La campagne FortiBleed est formellement attribuée aux groupes ransomware INC et Lynx : 430 000 firewalls FortiGate ciblés, 110 millions de credentials volés via un sniffer custom, 12 déploiements ransomware confirmés.
CrashStealer : malware macOS vole wallets et mots de passe
Jamf Threat Labs a publié l'analyse de CrashStealer, un infostealer macOS écrit en C++ natif, signé et notarisé par Apple, ciblant 80 wallets crypto et 14 gestionnaires de mots de passe. Il est actif in-the-wild depuis début juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire