La actualización se instaló sin problemas. Esa era la parte fácil.
Imagine la ventana de mantenimiento que se cerró anoche. El SMA1000 volvió a arrancar con una compilación corregida, el ticket de cambio se puso en verde y alguien escribió "parcheado" en el canal de incidentes. Si un atacante alcanzó ese equipo en los días previos, nada de eso deshace lo que ya salió del edificio.
Qué salió realmente: credenciales, bases de datos de sesiones activas y semillas TOTP de MFA. Las semillas son la parte que sobrevive a la corrección. Una semilla TOTP es el secreto compartido que guardan a la vez su aplicación de autenticación y su equipo, y quien la copia genera códigos válidos de seis dígitos de forma indefinida. Una compilación nueva de firmware no anula un secreto que ya fue leído.
Esa única propiedad explica por qué la Oficina Federal Alemana de Seguridad de la Información, el BSI, no se limitó a pedir a los operadores que actualizaran. Les dijo que presumieran que ya estaban comprometidos.
Dos CVE, una cadena y una calificación que engaña
El peligro no está en ninguno de los dos fallos por separado. Está en la secuencia.
CVE-2026-15409 es una falsificación de peticiones del lado del servidor, CWE-918, alcanzable sin autenticación a través de /wsproxy en el puerto 443. Lleva un CVSS 10.0 con vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Importan dos matices. Es SSRF, no ejecución remota de código. Y ese 10.0 es la puntuación propia de SonicWall en su papel de CNA, registrada como Secondary. El NVD no ha publicado ninguna puntuación primaria propia.
CVE-2026-15410 está calificado como CVSS 7.2 HIGH, CWE-94, un salto de directorio en el flujo remove_hotfix que escala hasta root. Su calificación dice post-autenticación, con administrador requerido.
Sí, pero: ese requisito es exactamente lo que aporta CVE-2026-15409. El SSRF abre un túnel websocket hacia servicios que sólo escuchan en localhost, y CVE-2026-15410 lo lleva después hasta root. Los dos se explotan en tándem, así que la mitad tranquilizadora de la puntuación de 15410 describe una barrera que el primer fallo ya ha retirado.
Los modelos afectados son los SMA1000 6210, 7210 y 8200v en las versiones 12.4.3-03245, -03387 y -03434, y 12.5.0-02283, -02624 y -02800. Las compilaciones corregidas son 12.4.3-03453 o superior y 12.5.0-02835 o superior. No hay soluciones alternativas. El SSL-VPN del firewall de SonicWall y la serie SMA100 no están afectados.
Un exploit público amplió el campo el 15 de julio
El equipo MDR de Rapid7 lo encontró antes de que SonicWall lo divulgara. El propio aviso de SonicWall no acredita a nadie.
Ya existe una prueba de concepto pública: el repositorio de GitHub remmons-r7/rapid7-CVE-2026-15409, creado el 15 de julio, que logra ejecución remota de código sin autenticación mediante Erlang en localhost:1050 con una cookie codificada de forma fija. Hay un módulo de Metasploit en desarrollo. El BSI advierte de manera explícita de que esto amplía el grupo de atacantes.
Una cautela sobre las pruebas. Las marcas de tiempo del 9 de julio en el informe de Rapid7 proceden del laboratorio propio del equipo, desde una IP privada durante el desarrollo del exploit, y no acreditan actividad real en esa fecha. Rapid7 sólo afirma que su hallazgo fue anterior a la divulgación oficial de SonicWall. Ninguna fuente primaria da una fecha de inicio de la explotación, y no existe ninguna cifra sólida sobre cuántos dispositivos están expuestos en Europa ni en ningún otro sitio.
La instrucción del BSI: demuestre que está limpio
El BSI alemán emitió su aviso el 15 de julio como versión 1.0 y lo actualizó a la versión 1.1 el 16 de julio, con número de documento BITS-H Nr. 2026-271845-1132. Está calificado como "Kritikalität: 3 / Orange" y marcado TLP:CLEAR, de modo que puede difundirse libremente.
El BSI afirma que las medidas "müssen unverzüglich ergriffen werden", deben adoptarse de inmediato. Su instrucción más afilada es la que conviene leer dos veces: "Assume Breach". Los operadores deben presumir el compromiso mientras no puedan refutarlo frente a los indicadores de compromiso publicados. El BSI es explícito en que parchear por sí solo es insuficiente y exige forense, reconstrucción, rotación de credenciales y restablecimiento de los tokens 2FA.
El BSI remite además a IT-Grundschutz NET.3.2: las interfaces de gestión nunca deben estar expuestas a internet. Ésa es la lección estructural bajo el incidente, y seguirá siendo cierta cuando este par de CVE se haya olvidado.
Por qué el robo de semillas cambia la forma del trabajo: con credenciales, sesiones vivas y semillas MFA en la mano, un atacante se mueve lateralmente por Active Directory sin necesitar la VPN. El equipo deja de ser el objetivo y pasa a ser la puerta.
La fecha límite de hoy es de otro
Ambos CVE se añadieron al catálogo Known Exploited Vulnerabilities de CISA el 14 de julio, cada uno con fecha límite el 17 de julio, es decir hoy. La catalogVersion del feed es 2026.07.16.
Nuestro análisis, y lo etiquetamos como nuestro: esa fecha obliga a las agencias federales estadounidenses en virtud de la BOD 26-04. No tiene fuerza legal en la UE ni en el Reino Unido. Un operador europeo que lea la entrada del KEV como un reloj de cumplimiento está leyendo el calendario de otro.
La instrucción que aquí aplica de verdad es la alemana, y es la más estricta de las dos. Una fecha límite le pide instalar algo antes del viernes. "Assume Breach" le pide demostrar que está limpio, y una demostración es un listón más alto que un ticket de cambio cerrado. Las organizaciones que en septiembre sigan lidiando con esto serán las que parchearon a tiempo y nunca miraron para qué se usaron las semillas mientras tanto.
Leer a continuación: Este fallo de ColdFusion fue atacado en minutos | Un token falso abre cada PC que gestiona la herramienta



