Opdateringen gik rent igennem. Det var den nemme del.
Forestil dig vedligeholdelsesvinduet, der lukkede i nat. SMA1000 kom op igen på en rettet build, change-sagen blev grøn, og nogen skrev "patchet" i hændelseskanalen. Hvis en angriber nåede den enhed i dagene inden, laver intet af det om på det, der allerede har forladt huset.
Hvad der faktisk forsvandt: legitimationsoplysninger, databaser med aktive sessioner og TOTP-MFA-seeds. Seeds er den del, der overlever rettelsen. En TOTP-seed er den delte hemmelighed, som både din authenticator-app og din enhed opbevarer, og den, der kopierer den, kan generere gyldige sekscifrede koder i det uendelige. En ny firmware-build ugyldiggør ikke en hemmelighed, der allerede er læst.
Netop den egenskab er grunden til, at det tyske forbundskontor for informationssikkerhed, BSI, ikke bare bad operatørerne om at opdatere. Det bad dem gå ud fra, at de var kompromitteret.
To CVE'er, én kæde og en score, der vildleder
Faren ligger ikke i nogen af de to sårbarheder hver for sig. Den ligger i rækkefølgen.
CVE-2026-15409 er en server-side request forgery, CWE-918, tilgængelig uden autentificering via /wsproxy på port 443. Den bærer CVSS 10.0 med vektoren CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. To forbehold tæller. Det er SSRF, ikke fjernafvikling af kode. Og de 10.0 er SonicWalls egen score i rollen som CNA, registreret som Secondary. NVD har ikke offentliggjort nogen primær score af egen kraft.
CVE-2026-15410 er vurderet til CVSS 7.2 HIGH, CWE-94, en path traversal i remove_hotfix-arbejdsgangen, der eskalerer til root. Vurderingen siger post-authentication, administrator kræves.
Ja, men: netop det krav er, hvad CVE-2026-15409 leverer. SSRF'en åbner en websocket-tunnel til tjenester, der kun lytter på localhost, og CVE-2026-15410 fører det derefter til root. De to udnyttes i tandem, så den beroligende halvdel af 15410's score beskriver en barriere, som den første sårbarhed allerede har fjernet.
Berørte modeller er SMA1000 6210, 7210 og 8200v på versionerne 12.4.3-03245, -03387 og -03434 samt 12.5.0-02283, -02624 og -02800. Rettede builds er 12.4.3-03453 eller nyere og 12.5.0-02835 eller nyere. Der findes ingen workarounds. SonicWalls firewall-SSL-VPN og SMA100-serien er ikke berørte.
En offentlig exploit udvidede feltet den 15. juli
Rapid7's MDR-team fandt dette, før SonicWall offentliggjorde det. SonicWalls egen advisory krediterer ingen.
Der findes nu et offentligt proof-of-concept: GitHub-repositoriet remmons-r7/rapid7-CVE-2026-15409, oprettet den 15. juli, som opnår uautentificeret fjernafvikling af kode via Erlang på localhost:1050 med en hårdkodet cookie. Et Metasploit-modul er under udvikling. BSI advarer udtrykkeligt om, at dette udvider kredsen af angribere.
Ét forbehold om bevisgrundlaget. Tidsstemplerne fra den 9. juli i Rapid7's rapport stammer fra teamets eget laboratorium, fra en privat IP under exploit-udvikling, og dokumenterer ikke aktivitet i omløb på den dato. Rapid7 siger blot, at fundet lå før SonicWalls officielle offentliggørelse. Ingen primærkilde angiver en startdato for udnyttelse, og der findes intet pålideligt tal for, hvor mange enheder der er eksponeret i Europa eller andre steder.
BSI's instruks: bevis at du er ren
Tyske BSI udsendte sin advarsel den 15. juli som version 1.0 og opdaterede den til version 1.1 den 16. juli, dokumentnummer BITS-H Nr. 2026-271845-1132. Den er klassificeret "Kritikalität: 3 / Orange" og mærket TLP:CLEAR, så den må deles frit.
BSI fastslår, at foranstaltninger "müssen unverzüglich ergriffen werden", skal træffes omgående. Den skarpeste instruks er den, der bør læses to gange: "Assume Breach". Operatører skal formode kompromittering, indtil de kan modbevise den mod de offentliggjorte indicators of compromise. BSI er eksplicit om, at patching alene er utilstrækkelig, og kræver forensik, genopbygning, rotation af legitimationsoplysninger og nulstilling af 2FA-tokens.
BSI henviser desuden til IT-Grundschutz NET.3.2: administrationsgrænseflader må aldrig eksponeres mod internettet. Det er den strukturelle lære under hændelsen, og den vil stadig gælde, når dette CVE-par er glemt.
Hvorfor seed-tyveriet ændrer arbejdets form: med legitimationsoplysninger, levende sessioner og MFA-seeds i hånden bevæger en angriber sig lateralt gennem Active Directory helt uden VPN. Enheden ophører med at være målet og bliver døren.
Dagens frist tilhører nogen andre
Begge CVE'er blev tilføjet CISA's katalog Known Exploited Vulnerabilities den 14. juli, hver med frist den 17. juli, altså i dag. Feedets catalogVersion er 2026.07.16.
Vores analyse, og vi mærker den som vores: den dato binder amerikanske føderale myndigheder efter BOD 26-04. Den har ingen retskraft i EU eller Storbritannien. En europæisk operatør, der læser KEV-posten som et compliance-ur, læser en andens kalender.
Instruksen, der faktisk gælder her, er den tyske, og den er den strengeste af de to. En frist beder dig installere noget inden fredag. "Assume Breach" beder dig bevise, at du er ren, og et bevis ligger højere end en lukket change-sag. De organisationer, der stadig sidder med det her i september, er dem, der patchede til tiden og aldrig så efter, hvad seeds blev brugt til i mellemtiden.
Læs videre: Denne ColdFusion-fejl blev angrebet på minutter | Et forfalsket token åbner hver pc værktøjet styrer



