L'aggiornamento è andato a buon fine. Quella era la parte facile.
Immaginate la finestra di manutenzione chiusa ieri notte. L'SMA1000 è tornato su con una build corretta, il ticket di change è passato al verde e qualcuno ha scritto "patchato" nel canale degli incidenti. Se un attaccante ha raggiunto quell'apparato nei giorni precedenti, niente di tutto ciò annulla quello che è già uscito dall'edificio.
Cosa è uscito davvero: credenziali, database delle sessioni attive e seed TOTP della MFA. I seed sono la parte che sopravvive alla correzione. Un seed TOTP è il segreto condiviso che la vostra app di autenticazione e il vostro apparato conservano entrambi, e chi lo copia genera codici validi a sei cifre a tempo indeterminato. Una nuova build del firmware non invalida un segreto già letto.
Questa singola proprietà è il motivo per cui l'Ufficio federale tedesco per la sicurezza informatica, il BSI, non si è limitato a dire agli operatori di aggiornare. Ha detto loro di presumere di essere già stati compromessi.
Due CVE, una catena e un punteggio che inganna
Il pericolo non sta in nessuna delle due falle presa da sola. Sta nella sequenza.
CVE-2026-15409 è una server-side request forgery, CWE-918, raggiungibile senza autenticazione tramite /wsproxy sulla porta 443. Porta un CVSS 10.0 con vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Contano due precisazioni. È SSRF, non esecuzione di codice remoto. E quel 10.0 è il punteggio di SonicWall stessa nel suo ruolo di CNA, registrato come Secondary. L'NVD non ha pubblicato alcun punteggio primario proprio.
CVE-2026-15410 è classificato CVSS 7.2 HIGH, CWE-94, un path traversal nel flusso remove_hotfix che scala fino a root. La sua classificazione dice post-autenticazione, con amministratore richiesto.
Sì, però: quel requisito è esattamente ciò che fornisce CVE-2026-15409. L'SSRF apre un tunnel websocket verso servizi che ascoltano solo su localhost, e CVE-2026-15410 porta poi il tutto fino a root. I due vengono sfruttati in tandem, quindi la metà rassicurante del punteggio di 15410 descrive una barriera che la prima falla ha già rimosso.
I modelli interessati sono gli SMA1000 6210, 7210 e 8200v nelle versioni 12.4.3-03245, -03387 e -03434, e 12.5.0-02283, -02624 e -02800. Le build corrette sono 12.4.3-03453 o superiore e 12.5.0-02835 o superiore. Non esistono soluzioni alternative. L'SSL-VPN del firewall SonicWall e la serie SMA100 non sono interessati.
Un exploit pubblico ha allargato il campo il 15 luglio
Il team MDR di Rapid7 ha trovato tutto questo prima che SonicWall lo divulgasse. L'advisory di SonicWall non attribuisce il merito a nessuno.
Ora esiste un proof-of-concept pubblico: il repository GitHub remmons-r7/rapid7-CVE-2026-15409, creato il 15 luglio, che ottiene esecuzione di codice remoto non autenticata tramite Erlang su localhost:1050 usando un cookie hardcoded. Un modulo Metasploit è in sviluppo. Il BSI avverte esplicitamente che questo allarga la platea degli attaccanti.
Una cautela sulle prove. I timestamp del 9 luglio nel report di Rapid7 provengono dal laboratorio del team stesso, da un IP privato durante lo sviluppo dell'exploit, e non provano attività reale in quella data. Rapid7 afferma soltanto che la scoperta è avvenuta prima della divulgazione ufficiale di SonicWall. Nessuna fonte primaria indica una data di inizio dello sfruttamento, e non esiste alcuna cifra attendibile su quanti dispositivi siano esposti in Europa o altrove.
L'istruzione del BSI: dimostrate di essere puliti
Il BSI tedesco ha emesso il suo avviso il 15 luglio come versione 1.0 e lo ha aggiornato alla versione 1.1 il 16 luglio, numero di documento BITS-H Nr. 2026-271845-1132. È classificato "Kritikalität: 3 / Orange" e marcato TLP:CLEAR, quindi può circolare liberamente.
Il BSI afferma che le misure "müssen unverzüglich ergriffen werden", devono essere adottate immediatamente. La sua istruzione più tagliente è quella da leggere due volte: "Assume Breach". Gli operatori devono presumere la compromissione finché non riescono a smentirla rispetto agli indicatori di compromissione pubblicati. Il BSI è esplicito nel dire che la sola patch è insufficiente e richiede analisi forense, ricostruzione, rotazione delle credenziali e reset dei token 2FA.
Il BSI rimanda inoltre all'IT-Grundschutz NET.3.2: le interfacce di gestione non devono mai essere esposte a internet. È la lezione strutturale sotto l'incidente, e resterà vera quando questa coppia di CVE sarà dimenticata.
Perché il furto dei seed cambia la forma del lavoro: con credenziali, sessioni vive e seed MFA in mano, un attaccante si muove lateralmente in Active Directory senza aver bisogno della VPN. L'apparato smette di essere l'obiettivo e diventa la porta.
La scadenza di oggi appartiene a qualcun altro
Entrambi i CVE sono stati aggiunti al catalogo Known Exploited Vulnerabilities della CISA il 14 luglio, ciascuno con scadenza al 17 luglio, cioè oggi. La catalogVersion del feed è 2026.07.16.
La nostra analisi, e la etichettiamo come nostra: quella data vincola le agenzie federali statunitensi ai sensi della BOD 26-04. Non ha alcuna forza legale nell'UE o nel Regno Unito. Un operatore europeo che legge la voce KEV come un orologio di conformità sta leggendo il calendario di qualcun altro.
L'istruzione che qui vale davvero è quella tedesca, ed è la più severa delle due. Una scadenza vi chiede di installare qualcosa entro venerdì. "Assume Breach" vi chiede di dimostrare che siete puliti, e una dimostrazione è un'asticella più alta di un ticket di change chiuso. Le organizzazioni che a settembre staranno ancora facendo i conti con questo saranno quelle che hanno applicato la patch in tempo e non hanno mai guardato a cosa siano serviti i seed nel frattempo.
Da leggere ora: Questa falla di ColdFusion è stata attaccata in minuti | Un token falso apre ogni PC che lo strumento gestisce



