Aktualizacja zainstalowała się czysto. To była łatwa część.
Wyobraźcie sobie okno serwisowe, które zamknęło się ubiegłej nocy. SMA1000 wstał na poprawionym buildzie, zgłoszenie zmiany zrobiło się zielone, a ktoś napisał "załatane" na kanale incydentów. Jeśli atakujący dotarł do tego urządzenia w poprzednich dniach, nic z tego nie cofa tego, co już opuściło budynek.
Co naprawdę wyszło: poświadczenia, bazy aktywnych sesji i ziarna TOTP dla MFA. Ziarna to ta część, która przeżywa poprawkę. Ziarno TOTP to wspólny sekret, który przechowuje zarówno wasza aplikacja uwierzytelniająca, jak i urządzenie, a kto go skopiuje, generuje ważne sześciocyfrowe kody bez końca. Nowy build firmware nie unieważnia sekretu, który został już odczytany.
Właśnie ta jedna właściwość tłumaczy, dlaczego niemiecki Federalny Urząd do spraw Bezpieczeństwa Informacji, BSI, nie powiedział operatorom po prostu, żeby zaktualizowali. Powiedział im, żeby założyli, że zostali skompromitowani.
Dwa CVE, jeden łańcuch i ocena, która wprowadza w błąd
Niebezpieczeństwo nie tkwi w żadnej z luk z osobna. Tkwi w kolejności.
CVE-2026-15409 to server-side request forgery, CWE-918, osiągalne bez uwierzytelnienia przez /wsproxy na porcie 443. Ma CVSS 10.0 z wektorem CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Liczą się dwa zastrzeżenia. To SSRF, a nie zdalne wykonanie kodu. A te 10.0 to własna ocena SonicWall w jej roli CNA, zapisana jako Secondary. NVD nie opublikował żadnej własnej oceny podstawowej.
CVE-2026-15410 jest oceniona na CVSS 7.2 HIGH, CWE-94, to path traversal w przepływie remove_hotfix, który eskaluje do roota. Ocena mówi: post-authentication, wymagany administrator.
Tak, ale: dokładnie ten wymóg dostarcza CVE-2026-15409. SSRF otwiera tunel websocket do usług nasłuchujących wyłącznie na localhost, a CVE-2026-15410 doprowadza to potem do roota. Obie są wykorzystywane w tandemie, więc uspokajająca połowa oceny 15410 opisuje barierę, którą pierwsza luka już usunęła.
Dotknięte modele to SMA1000 6210, 7210 i 8200v w wersjach 12.4.3-03245, -03387 i -03434 oraz 12.5.0-02283, -02624 i -02800. Poprawione buildy to 12.4.3-03453 lub nowszy i 12.5.0-02835 lub nowszy. Nie ma żadnych obejść. SSL-VPN firewalla SonicWall i seria SMA100 nie są dotknięte.
Publiczny exploit poszerzył pole 15 lipca
Zespół MDR firmy Rapid7 znalazł to, zanim SonicWall to ujawnił. Własny biuletyn SonicWall nie wskazuje nikogo jako odkrywcy.
Istnieje już publiczny proof-of-concept: repozytorium GitHub remmons-r7/rapid7-CVE-2026-15409, utworzone 15 lipca, osiągające nieuwierzytelnione zdalne wykonanie kodu przez Erlang na localhost:1050 z zaszytym na sztywno ciasteczkiem. Moduł Metasploit jest w przygotowaniu. BSI wyraźnie ostrzega, że poszerza to grono atakujących.
Jedno zastrzeżenie co do dowodów. Znaczniki czasu z 9 lipca w opracowaniu Rapid7 pochodzą z własnego laboratorium zespołu, z prywatnego IP, w trakcie tworzenia exploita, i nie dowodzą aktywności w obiegu tego dnia. Rapid7 mówi jedynie, że odkrycie nastąpiło przed oficjalnym ujawnieniem przez SonicWall. Żadne źródło pierwotne nie podaje daty rozpoczęcia wykorzystywania, i nie istnieje żadna wiarygodna liczba mówiąca, ile urządzeń jest wystawionych w Europie czy gdziekolwiek indziej.
Instrukcja BSI: udowodnijcie, że jesteście czyści
Niemiecki BSI wydał ostrzeżenie 15 lipca jako wersję 1.0 i zaktualizował je do wersji 1.1 16 lipca, numer dokumentu BITS-H Nr. 2026-271845-1132. Ma ocenę "Kritikalität: 3 / Orange" i oznaczenie TLP:CLEAR, więc można je swobodnie rozpowszechniać.
BSI stwierdza, że środki "müssen unverzüglich ergriffen werden", muszą zostać podjęte niezwłocznie. Jego najostrzejszą instrukcję warto przeczytać dwa razy: "Assume Breach". Operatorzy muszą zakładać kompromitację, dopóki nie zdołają jej obalić w zestawieniu z opublikowanymi wskaźnikami kompromitacji. BSI mówi wprost, że samo łatanie nie wystarcza, i wymaga informatyki śledczej, odbudowy, wymiany poświadczeń oraz resetu tokenów 2FA.
BSI odsyła ponadto do IT-Grundschutz NET.3.2: interfejsy zarządzania nigdy nie mogą być wystawione do internetu. To strukturalna lekcja pod tym incydentem, i pozostanie prawdziwa, gdy ta para CVE będzie już zapomniana.
Dlaczego kradzież ziaren zmienia kształt pracy: mając poświadczenia, żywe sesje i ziarna MFA, atakujący porusza się lateralnie po Active Directory bez potrzeby korzystania z VPN. Urządzenie przestaje być celem i staje się drzwiami.
Dzisiejszy termin należy do kogoś innego
Oba CVE dodano do katalogu Known Exploited Vulnerabilities agencji CISA 14 lipca, każde z terminem na 17 lipca, czyli dziś. catalogVersion feedu to 2026.07.16.
Nasza analiza, i oznaczamy ją jako naszą: ta data wiąże amerykańskie agencje federalne na mocy BOD 26-04. Nie ma żadnej mocy prawnej w UE ani w Wielkiej Brytanii. Europejski operator, który czyta wpis KEV jako zegar zgodności, czyta cudzy kalendarz.
Instrukcja, która naprawdę tu obowiązuje, jest niemiecka, i jest ostrzejsza z tych dwóch. Termin prosi, żebyście coś zainstalowali do piątku. "Assume Breach" prosi, żebyście udowodnili, że jesteście czyści, a dowód to poprzeczka wyższa niż zamknięte zgłoszenie zmiany. Organizacje, które będą się z tym męczyć jeszcze we wrześniu, to te, które załatały na czas i nigdy nie sprawdziły, do czego w międzyczasie posłużyły ziarna.
Czytaj dalej: Ta luka ColdFusion została zaatakowana w minuty | Sfałszowany token otwiera każdy PC pod zarządem narzędzia



