De update installeerde vlekkeloos. Dat was het makkelijke deel.
Denk aan het onderhoudsvenster dat gisternacht sloot. De SMA1000 kwam terug op een gecorrigeerde build, het change-ticket sprong op groen en iemand schreef "gepatcht" in het incidentkanaal. Als een aanvaller dat apparaat in de dagen ervoor bereikte, draait niets daarvan terug wat het pand al had verlaten.
Wat er werkelijk weg is: inloggegevens, databases met actieve sessies en TOTP-MFA-seeds. De seeds zijn het deel dat de fix overleeft. Een TOTP-seed is het gedeelde geheim dat uw authenticator-app en uw apparaat allebei bewaren, en wie het kopieert genereert onbeperkt geldige codes van zes cijfers. Een nieuwe firmware-build maakt een geheim dat al gelezen is niet ongeldig.
Precies die eigenschap verklaart waarom het Duitse Bundesamt für Sicherheit in der Informationstechnik, het BSI, beheerders niet simpelweg vroeg te updaten. Het zei hun uit te gaan van een compromittering.
Twee CVE's, één keten en een score die misleidt
Het gevaar zit in geen van beide lekken afzonderlijk. Het zit in de volgorde.
CVE-2026-15409 is een server-side request forgery, CWE-918, zonder authenticatie bereikbaar via /wsproxy op poort 443. Hij draagt CVSS 10.0 met vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Twee nuances tellen. Het is SSRF, geen remote code execution. En die 10.0 is SonicWalls eigen score in zijn rol als CNA, vastgelegd als Secondary. De NVD heeft geen eigen primaire score gepubliceerd.
CVE-2026-15410 is beoordeeld als CVSS 7.2 HIGH, CWE-94, een path traversal in de remove_hotfix-workflow die escaleert naar root. De beoordeling zegt post-authenticatie, beheerder vereist.
Ja, maar: die voorwaarde is precies wat CVE-2026-15409 aanlevert. De SSRF opent een websocket-tunnel naar diensten die alleen op localhost luisteren, en CVE-2026-15410 brengt het daarna tot root. Beide worden in tandem misbruikt, dus de geruststellende helft van de score van 15410 beschrijft een drempel die het eerste lek al heeft weggenomen.
Getroffen zijn de SMA1000-modellen 6210, 7210 en 8200v in de versies 12.4.3-03245, -03387 en -03434, en 12.5.0-02283, -02624 en -02800. Gecorrigeerde builds zijn 12.4.3-03453 of hoger en 12.5.0-02835 of hoger. Er zijn geen workarounds. SonicWall-firewall-SSL-VPN en de SMA100-serie zijn niet getroffen.
Een publieke exploit verbreedde het veld op 15 juli
Het MDR-team van Rapid7 vond dit voordat SonicWall het bekendmaakte. SonicWalls eigen advisory crediteert niemand.
Er bestaat nu een publieke proof-of-concept: de GitHub-repository remmons-r7/rapid7-CVE-2026-15409, aangemaakt op 15 juli, die ongeauthenticeerde remote code execution bereikt via Erlang op localhost:1050 met een hardcoded cookie. Een Metasploit-module is in ontwikkeling. Het BSI waarschuwt expliciet dat dit de groep aanvallers verbreedt.
Eén voorbehoud bij het bewijs. De tijdstempels van 9 juli in de publicatie van Rapid7 komen uit het eigen lab van het team, vanaf een privé-IP tijdens exploitontwikkeling, en bewijzen geen activiteit in het wild op die datum. Rapid7 zegt alleen dat de ontdekking dateert van vóór SonicWalls officiële bekendmaking. Geen enkele primaire bron noemt een startdatum van misbruik, en er bestaat geen betrouwbaar cijfer over hoeveel apparaten blootgesteld zijn in Europa of waar dan ook.
De instructie van het BSI: bewijs dat u schoon bent
Het Duitse BSI gaf zijn waarschuwing uit op 15 juli als versie 1.0 en werkte die op 16 juli bij naar versie 1.1, documentnummer BITS-H Nr. 2026-271845-1132. Ze is geclassificeerd als "Kritikalität: 3 / Orange" en gemarkeerd TLP:CLEAR, dus vrij te verspreiden.
Het BSI stelt dat maatregelen "müssen unverzüglich ergriffen werden", onmiddellijk moeten worden genomen. De scherpste instructie is er één om twee keer te lezen: "Assume Breach". Beheerders moeten compromittering veronderstellen zolang zij die niet kunnen weerleggen aan de hand van de gepubliceerde indicators of compromise. Het BSI is expliciet dat patchen alleen onvoldoende is en dat forensiek, herbouw, rotatie van inloggegevens en reset van 2FA-tokens nodig zijn.
Het BSI verwijst daarnaast naar IT-Grundschutz NET.3.2: beheerinterfaces mogen nooit aan het internet worden blootgesteld. Dat is de structurele les onder dit incident, en die blijft waar wanneer dit CVE-paar vergeten is.
Waarom de seed-diefstal de vorm van het werk verandert: met inloggegevens, levende sessies en MFA-seeds in handen beweegt een aanvaller lateraal door Active Directory zonder de VPN nodig te hebben. Het apparaat is dan niet meer het doel maar de deur.
De deadline van vandaag is die van iemand anders
Beide CVE's werden op 14 juli toegevoegd aan de CISA-catalogus Known Exploited Vulnerabilities, elk met 17 juli als deadline, dus vandaag. De catalogVersion van de feed is 2026.07.16.
Onze analyse, en we labelen die als de onze: die datum bindt Amerikaanse federale agentschappen onder BOD 26-04. In de EU of het Verenigd Koninkrijk heeft ze geen rechtskracht. Een Europese beheerder die de KEV-vermelding leest als een compliance-klok, leest de agenda van iemand anders.
De instructie die hier echt geldt is de Duitse, en die is de strengere van de twee. Een deadline vraagt u iets vóór vrijdag te installeren. "Assume Breach" vraagt u te bewijzen dat u schoon bent, en een bewijs ligt hoger dan een afgerond change-ticket. De organisaties die hier in september nog mee bezig zijn, zijn de organisaties die op tijd patchten en nooit keken waarvoor de seeds intussen gebruikt zijn.
Lees hierna: Dit ColdFusion-lek werd binnen minuten aangevallen | Een vervalst token opent elke pc die de tool beheert



