A atualização instalou-se sem problemas. Essa era a parte fácil.
Pense na janela de manutenção que fechou esta noite. O SMA1000 voltou a arrancar numa compilação corrigida, o registo de alteração passou a verde e alguém escreveu "corrigido" no canal de incidentes. Se um atacante alcançou aquele equipamento nos dias anteriores, nada disso desfaz o que já saiu do edifício.
O que saiu de facto: credenciais, bases de dados de sessões ativas e sementes TOTP de MFA. As sementes são a parte que sobrevive à correção. Uma semente TOTP é o segredo partilhado que a sua aplicação de autenticação e o seu equipamento guardam em conjunto, e quem a copia gera códigos válidos de seis dígitos por tempo indeterminado. Uma nova compilação de firmware não invalida um segredo que já foi lido.
É essa única propriedade que explica porque o Gabinete Federal alemão para a Segurança da Informação, o BSI, não se limitou a mandar as equipas atualizar. Disse-lhes que presumissem estar comprometidas.
Duas CVE, uma cadeia e uma pontuação que engana
O perigo não está em nenhuma das falhas isoladamente. Está na sequência.
A CVE-2026-15409 é uma falsificação de pedidos do lado do servidor, CWE-918, alcançável sem autenticação através de /wsproxy na porta 443. Tem CVSS 10.0 com o vetor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Duas ressalvas contam. É SSRF, não execução remota de código. E esse 10.0 é a pontuação da própria SonicWall no seu papel de CNA, registada como Secondary. O NVD não publicou qualquer pontuação primária própria.
A CVE-2026-15410 está classificada como CVSS 7.2 HIGH, CWE-94, um atravessamento de diretórios no fluxo remove_hotfix que escala até root. A classificação diz pós-autenticação, com administrador necessário.
Sim, mas: esse requisito é exatamente o que a CVE-2026-15409 fornece. O SSRF abre um túnel websocket para serviços que só escutam em localhost, e a CVE-2026-15410 leva depois tudo até root. As duas são exploradas em conjunto, pelo que a metade tranquilizadora da pontuação da 15410 descreve uma barreira que a primeira falha já removeu.
Os modelos afetados são os SMA1000 6210, 7210 e 8200v nas versões 12.4.3-03245, -03387 e -03434, e 12.5.0-02283, -02624 e -02800. As compilações corrigidas são 12.4.3-03453 ou superior e 12.5.0-02835 ou superior. Não existem soluções alternativas. O SSL-VPN da firewall SonicWall e a série SMA100 não estão afetados.
Um exploit público alargou o campo a 15 de julho
A equipa de MDR da Rapid7 encontrou isto antes de a SonicWall o divulgar. O aviso da própria SonicWall não credita ninguém.
Existe agora uma prova de conceito pública: o repositório GitHub remmons-r7/rapid7-CVE-2026-15409, criado a 15 de julho, que consegue execução remota de código sem autenticação através de Erlang em localhost:1050 usando uma cookie codificada de forma fixa. Está em desenvolvimento um módulo Metasploit. O BSI avisa de forma explícita que isto alarga o conjunto de atacantes.
Uma cautela quanto às provas. Os carimbos temporais de 9 de julho na publicação da Rapid7 vêm do laboratório da própria equipa, a partir de um IP privado durante o desenvolvimento do exploit, e não provam atividade real nessa data. A Rapid7 diz apenas que a descoberta ocorreu antes da divulgação oficial da SonicWall. Nenhuma fonte primária indica uma data de início da exploração, e não existe qualquer número sólido sobre quantos aparelhos estão expostos na Europa ou em qualquer outro lado.
A instrução do BSI: prove que está limpo
O BSI alemão emitiu o seu aviso a 15 de julho como versão 1.0 e atualizou-o para a versão 1.1 a 16 de julho, com o número de documento BITS-H Nr. 2026-271845-1132. Está classificado como "Kritikalität: 3 / Orange" e marcado TLP:CLEAR, pelo que pode circular livremente.
O BSI afirma que as medidas "müssen unverzüglich ergriffen werden", devem ser tomadas de imediato. A sua instrução mais afiada é a que merece dupla leitura: "Assume Breach". Quem opera estes equipamentos deve presumir o compromisso enquanto não o conseguir refutar face aos indicadores de compromisso publicados. O BSI é explícito ao dizer que só corrigir é insuficiente e exige forense, reconstrução, rotação de credenciais e reposição dos tokens 2FA.
O BSI remete ainda para o IT-Grundschutz NET.3.2: as interfaces de gestão nunca devem estar expostas à internet. É essa a lição estrutural por baixo do incidente, e continuará verdadeira quando este par de CVE estiver esquecido.
Porque o roubo das sementes muda a forma do trabalho: com credenciais, sessões vivas e sementes MFA na mão, um atacante move-se lateralmente pelo Active Directory sem precisar da VPN. O equipamento deixa de ser o alvo e passa a ser a porta.
O prazo de hoje pertence a outra pessoa
Ambas as CVE foram adicionadas ao catálogo Known Exploited Vulnerabilities da CISA a 14 de julho, cada uma com prazo a 17 de julho, ou seja hoje. A catalogVersion do feed é 2026.07.16.
A nossa análise, e assinalamo-la como nossa: essa data vincula as agências federais norte-americanas ao abrigo da BOD 26-04. Não tem força legal na UE nem no Reino Unido. Quem opera na Europa e lê a entrada do KEV como um relógio de conformidade está a ler o calendário de outra pessoa.
A instrução que aqui se aplica de verdade é a alemã, e é a mais rigorosa das duas. Um prazo pede-lhe que instale algo até sexta-feira. "Assume Breach" pede-lhe que prove que está limpo, e uma prova é uma fasquia mais alta do que um registo de alteração fechado. As organizações que em setembro ainda estarão a lidar com isto são as que corrigiram a tempo e nunca foram ver para que serviram as sementes entretanto.
Leia a seguir: Esta falha do ColdFusion foi atacada em minutos | Um token falso abre cada PC que a ferramenta gere



