La mise à jour s'est installée proprement. C'était la partie facile.

Imaginez la fenêtre de maintenance refermée la nuit dernière. Le SMA1000 est remonté sur une version corrigée, le ticket de changement est passé au vert et quelqu'un a écrit "corrigé" dans le canal d'incident. Si un attaquant a atteint cet équipement dans les jours précédents, rien de tout cela n'annule ce qui est déjà sorti du bâtiment.

Ce qui est réellement parti : des identifiants, des bases de sessions actives et des graines TOTP de MFA. Les graines sont la partie qui survit au correctif. Une graine TOTP est le secret partagé que détiennent à la fois votre application d'authentification et votre équipement, et celui qui la copie génère indéfiniment des codes valides à six chiffres. Une nouvelle version de firmware n'invalide pas un secret déjà lu.

Cette seule propriété explique pourquoi l'Office fédéral allemand de la sécurité des systèmes d'information, le BSI, n'a pas simplement demandé aux exploitants de mettre à jour. Il leur a dit de présumer qu'ils étaient compromis.

Deux CVE, une chaîne et une note qui induit en erreur

Le danger ne vient d'aucune des deux failles prise isolément. Il vient de l'enchaînement.

CVE-2026-15409 est une falsification de requête côté serveur, CWE-918, atteignable sans authentification via /wsproxy sur le port 443. Elle porte un CVSS 10.0 avec le vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Deux nuances comptent. C'est du SSRF, pas de l'exécution de code à distance. Et ce 10.0 est le score de SonicWall elle-même dans son rôle de CNA, enregistré comme Secondary. Le NVD n'a publié aucun score primaire propre.

CVE-2026-15410 est notée CVSS 7.2 HIGH, CWE-94, une traversée de répertoire dans le flux remove_hotfix qui escalade jusqu'à root. Sa note indique post-authentification, administrateur requis.

Oui, mais : cette condition est exactement ce que fournit CVE-2026-15409. Le SSRF ouvre un tunnel websocket vers des services qui n'écoutent que sur localhost, puis CVE-2026-15410 mène jusqu'à root. Les deux sont exploitées en tandem, si bien que la moitié rassurante du score de 15410 décrit une barrière que la première faille a déjà levée.

Les modèles concernés sont les SMA1000 6210, 7210 et 8200v en versions 12.4.3-03245, -03387 et -03434, ainsi que 12.5.0-02283, -02624 et -02800. Les versions corrigées sont 12.4.3-03453 ou supérieure et 12.5.0-02835 ou supérieure. Il n'existe aucun contournement. Le SSL-VPN des pare-feux SonicWall et la série SMA100 ne sont pas concernés.

Un exploit public a élargi le terrain le 15 juillet

L'équipe MDR de Rapid7 a trouvé la faille avant la divulgation de SonicWall. L'avis de SonicWall ne crédite personne.

Une preuve de concept publique existe désormais : le dépôt GitHub remmons-r7/rapid7-CVE-2026-15409, créé le 15 juillet, qui obtient une exécution de code à distance non authentifiée via Erlang sur localhost:1050 avec un cookie codé en dur. Un module Metasploit est en développement. Le BSI avertit explicitement que cela élargit le vivier d'attaquants.

Une précaution sur les preuves. Les horodatages du 9 juillet dans la publication de Rapid7 proviennent du laboratoire de l'équipe elle-même, depuis une IP privée pendant le développement de l'exploit, et n'attestent d'aucune activité réelle à cette date. Rapid7 dit seulement que sa découverte est antérieure à la divulgation officielle de SonicWall. Aucune source primaire ne donne de date de début d'exploitation, et il n'existe aucun chiffre fiable sur le nombre d'équipements exposés en Europe ou ailleurs.

L'instruction du BSI : prouvez que vous êtes propres

Le BSI allemand a publié son alerte le 15 juillet en version 1.0 et l'a mise à jour en version 1.1 le 16 juillet, sous le numéro de document BITS-H Nr. 2026-271845-1132. Elle est classée "Kritikalität: 3 / Orange" et marquée TLP:CLEAR, donc librement diffusable.

Le BSI indique que les mesures "müssen unverzüglich ergriffen werden", doivent être prises immédiatement. Son instruction la plus tranchante mérite deux lectures : "Assume Breach". Les exploitants doivent présumer la compromission tant qu'ils ne peuvent pas la réfuter au regard des indicateurs de compromission publiés. Le BSI est explicite : le correctif seul est insuffisant, et il faut une analyse forensique, une reconstruction, une rotation des identifiants et une réinitialisation des jetons 2FA.

Le BSI renvoie également à l'IT-Grundschutz NET.3.2 : les interfaces d'administration ne doivent jamais être exposées à internet. C'est la leçon structurelle sous l'incident, et elle restera vraie quand cette paire de CVE sera oubliée.

Pourquoi le vol de graines change la nature du travail : avec des identifiants, des sessions vivantes et des graines MFA en main, un attaquant se déplace latéralement dans Active Directory sans avoir besoin du VPN. L'équipement cesse d'être la cible et devient la porte.

L'échéance d'aujourd'hui appartient à quelqu'un d'autre

Les deux CVE ont été ajoutées au catalogue Known Exploited Vulnerabilities de la CISA le 14 juillet, chacune avec une échéance au 17 juillet, c'est-à-dire aujourd'hui. La catalogVersion du flux est 2026.07.16.

Notre analyse, et nous la signalons comme telle : cette date lie les agences fédérales américaines au titre de la BOD 26-04. Elle n'a aucune force juridique dans l'UE ni au Royaume-Uni. Un exploitant européen qui lit l'entrée KEV comme une horloge de conformité lit le calendrier de quelqu'un d'autre.

L'instruction qui s'applique réellement ici est l'allemande, et c'est la plus stricte des deux. Une échéance vous demande d'installer quelque chose avant vendredi. "Assume Breach" vous demande de prouver que vous êtes propres, et une preuve place la barre plus haut qu'un ticket de changement clôturé. Les organisations qui en seront encore là en septembre sont celles qui ont corrigé dans les temps sans jamais regarder à quoi les graines ont servi entre-temps.