Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilités critiques dans Secure Mobile Access (SMA) 1000 series appliances

Score CVSS :
10.0 et 7.2
Date de publication :
15/7/2026
Date de dernière mise à jour :
15/7/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Appliances SonicWall Secure Mobile Access (SMA) 1000 Series

• Modèles SMA6210, SMA7210 et SMA8200v exécutant les versions platform-hotfix 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 et 12.5.0-02800

Prérequis

• CVE-2026-15409 : accès réseau à l'interface Work Place de l'appliance SMA 1000 (portail utilisateur SSL-VPN, généralement exposé sur Internet).

• CVE-2026-15410 : accès réseau à l'Appliance Management Console (AMC) et disposition d'un compte administrateur valide (post-authentification).

Risques

• Exécution de commandes arbitraires sur le système d'exploitation sous-jacent

• Prise de contrôle complète de l'appliance SSL-VPN d'accès distant

• Contournement d'authentification via chaînage de vulnérabilités

• Accès au réseau interne de l'entreprise via la passerelle VPN compromise

Résumé

Deux vulnérabilités critiques affectant les solutions SonicWall Secure Mobile Access (SMA) 1000 Series ont été publiées par l'éditeur le 14 juillet 2026.

Les appliances SonicWall SMA 1000 series sont des passerelles d'accès distant sécurisé (SSL VPN). Elles fournissent une terminaison VPN pour les utilisateurs nomades et l'accès à distance aux ressources internes.

CVE-2026-15409 : Il s'agit d'une vulnérabilité de type Server-side request forgery (SSRF, score CVSS 10.0) identifiée dans l'interface Work Place de l'appliance SMA1000. Un attaquant distant non authentifié pourrait potentiellement amener l'appliance à émettre des requêtes vers un emplacement non prévu. Cette faille est le point d'entrée initial de la chaîne d'exploitation observée.

CVE-2026-15410 : Il s'agit d'une vulnérabilité d'injection de code post-authentification (score CVSS 7.2) dans l'Appliance Management Console (AMC), qu'un attaquant distant authentifié pourrait exploiter, sous certaines conditions, pour exécuter des commandes arbitraires sur le système d'exploitation en tant qu'administrateur.

L'exploitation de ces CVE sur cet équipement VPN présente un risque critique : permettre à un attaquant d'accéder directement au réseau interne de l'entreprise. Avec cet accès, il pourrait exécuter des commandes en tant qu'administrateur, modifier les règles de filtrage VPN, exfiltrer des données sensibles et désactiver les protections de sécurité (notamment par le biais d'un rollback de hotfix ou de l'altération des logs).

Des exploitations de cette vulnérabilité ont déjà été observées avant la publication de l'avis.

Dans les attaques observées à ce jour, les deux bugs sont exploités en tandem. L'éditeur a également averti ses clients que la vulnérabilité a été chaînée avec CVE-2025-23006 (CVSS 9.8) dans les attaques zero-day pour élever les privilèges. Une fois la chaîne d'exploitation aboutie, l'attaquant dispose d'un contrôle administratif complet de l’équipement et peut donc interagir avec celle-ci ainsi qu'avec les flux VPN qu'elle relaie.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet.

Solutions

Détection de la compromission :

SonicWall souligne que l'application du correctif seule n'est pas suffisante et recommande fortement de passer en revue les journaux à la recherche d'indicateurs de compromission et de suivre les instructions de l'article KB.

Afin de vérifier si un équipement est compromis, vous pouvez auditer les artefacts publiés par l'éditeur :

• Rechercher dans extraweb_access.log les requêtes vers /__api__/login ou /__api__/logout avec un statut HTTP 200

• Rechercher dans extraweb_access.log les requêtes vers /wsproxy avec des paramètres host suspects et un statut HTTP 101

• Rechercher dans ctrl-service.log les rollbacks de hotfix comportant le nom de fichier ou le chemin d'accès contient des séquences de remontée de répertoire

• Vérifier si le fichier /var/lib/unit/conf.json contient des routes pour /__api__/login ou /__api__/logout

• Corréler ces indicateurs avec toute activité réseau anormale sortant de l'appliance vers des services internes qui ne devraient pas être joints par le SMA

• Superviser toute création de compte administrateur, activation/désactivation de politique, rotation de secrets TOTP ou modification de configuration hors fenêtre de changement planifié

En cas de suspicion de compromission, SonicWall recommande de réinstaller l'image système des équipements physiques ou de redéployer les équipements virtuels, de changer les mots de passe utilisateurs et administrateurs, et de réinitialiser les jetons TOTP.

Remédiation :

Mettre à jour SonicWall SMA 1000 Series vers les versions :

• platform-hotfix version 12.4.3-03453 et ultérieures

• platform-hotfix version 12.5.0-02835 et ultérieures

Le détail est disponible dans les liens en références (avis SNWLID-2026-0008).

Mitigation :

SonicWall indique également qu'il n'existe aucun contournement ni mesure de mitigation pour ces failles autre que l'installation des hotfixes.

À titre de mesures compensatoires temporaires, si le patch ne peut être appliqué immédiatement :

• Restreindre l'accès réseau à l'interface Work Place (portail SSL-VPN utilisateur) aux plages IP strictement nécessaires

• Restreindre strictement l'accès à l'Appliance Management Console (AMC) à des bastions d'administration et interdire son exposition Internet

• Renforcer la supervision des journaux de l'appliance vers un SIEM externe (les logs locaux peuvent être altérés en cas de compromission)

• Rotation préventive des identifiants administrateurs et des jetons TOTP

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.