Uppdateringen installerades rent. Det var den enkla delen.
Tänk på underhållsfönstret som stängde i natt. SMA1000 kom upp igen på en rättad build, ändringsärendet blev grönt och någon skrev "patchad" i incidentkanalen. Om en angripare nådde den enheten dagarna innan gör inget av detta ogjort det som redan lämnat huset.
Vad som faktiskt försvann: inloggningsuppgifter, databaser med aktiva sessioner och TOTP-MFA-seeds. Seeds är den del som överlever fixen. En TOTP-seed är den delade hemligheten som både din autentiseringsapp och din enhet förvarar, och den som kopierar den kan generera giltiga sexsiffriga koder hur länge som helst. En ny firmware-build ogiltigförklarar inte en hemlighet som redan lästs.
Just den egenskapen är skälet till att Tysklands federala myndighet för informationssäkerhet, BSI, inte bara bad operatörerna uppdatera. Den sa åt dem att utgå från att de var komprometterade.
Två CVE:er, en kedja och en poäng som vilseleder
Faran ligger inte i någon av sårbarheterna var för sig. Den ligger i ordningen.
CVE-2026-15409 är en server-side request forgery, CWE-918, nåbar utan autentisering via /wsproxy på port 443. Den bär CVSS 10.0 med vektorn CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. Två förbehåll räknas. Det är SSRF, inte fjärrkörning av kod. Och de 10.0 är SonicWalls egen poäng i rollen som CNA, registrerad som Secondary. NVD har inte publicerat någon egen primär poäng.
CVE-2026-15410 är klassad CVSS 7.2 HIGH, CWE-94, en path traversal i remove_hotfix-flödet som eskalerar till root. Klassningen säger post-authentication, administratör krävs.
Ja, men: exakt det kravet är vad CVE-2026-15409 levererar. SSRF:en öppnar en websocket-tunnel till tjänster som bara lyssnar på localhost, och CVE-2026-15410 tar det sedan till root. De två utnyttjas i tandem, så den lugnande halvan av 15410:s poäng beskriver en barriär som den första sårbarheten redan har tagit bort.
Berörda modeller är SMA1000 6210, 7210 och 8200v i versionerna 12.4.3-03245, -03387 och -03434 samt 12.5.0-02283, -02624 och -02800. Rättade builds är 12.4.3-03453 eller senare och 12.5.0-02835 eller senare. Det finns inga workarounds. SonicWalls brandväggs-SSL-VPN och SMA100-serien är inte berörda.
En offentlig exploit vidgade fältet den 15 juli
Rapid7:s MDR-team hittade detta innan SonicWall offentliggjorde det. SonicWalls egen advisory krediterar ingen.
Det finns nu ett offentligt proof-of-concept: GitHub-repot remmons-r7/rapid7-CVE-2026-15409, skapat den 15 juli, som uppnår oautentiserad fjärrkörning av kod via Erlang på localhost:1050 med en hårdkodad cookie. En Metasploit-modul är under utveckling. BSI varnar uttryckligen för att detta vidgar kretsen av angripare.
Ett förbehåll om bevisläget. Tidsstämplarna från den 9 juli i Rapid7:s rapport kommer från teamets eget labb, från en privat IP under exploitutveckling, och styrker ingen aktivitet i omlopp det datumet. Rapid7 säger endast att upptäckten skedde före SonicWalls officiella offentliggörande. Ingen primärkälla anger något startdatum för utnyttjande, och det finns ingen tillförlitlig siffra på hur många enheter som är exponerade i Europa eller någon annanstans.
BSI:s instruktion: bevisa att du är ren
Tyska BSI utfärdade sin varning den 15 juli som version 1.0 och uppdaterade den till version 1.1 den 16 juli, dokumentnummer BITS-H Nr. 2026-271845-1132. Den är klassad "Kritikalität: 3 / Orange" och märkt TLP:CLEAR, så den får spridas fritt.
BSI slår fast att åtgärder "müssen unverzüglich ergriffen werden", måste vidtas omedelbart. Dess skarpaste instruktion är den som bör läsas två gånger: "Assume Breach". Operatörer måste förutsätta kompromettering tills de kan motbevisa den mot de publicerade indicators of compromise. BSI är tydlig med att enbart patchning är otillräckligt och kräver forensik, återbyggnad, rotation av inloggningsuppgifter och återställning av 2FA-tokens.
BSI hänvisar dessutom till IT-Grundschutz NET.3.2: administrationsgränssnitt får aldrig exponeras mot internet. Det är den strukturella lärdomen under incidenten, och den gäller än när detta CVE-par är glömt.
Varför seed-stölden ändrar arbetets form: med inloggningsuppgifter, levande sessioner och MFA-seeds i handen rör sig en angripare lateralt genom Active Directory helt utan VPN. Enheten slutar vara målet och blir dörren.
Dagens deadline tillhör någon annan
Båda CVE:erna lades till CISA:s katalog Known Exploited Vulnerabilities den 14 juli, var och en med sista datum den 17 juli, alltså idag. Flödets catalogVersion är 2026.07.16.
Vår analys, och vi märker den som vår: det datumet binder amerikanska federala myndigheter enligt BOD 26-04. Det har ingen rättslig verkan i EU eller Storbritannien. En europeisk operatör som läser KEV-posten som en efterlevnadsklocka läser någon annans kalender.
Instruktionen som faktiskt gäller här är den tyska, och den är den strängare av de två. En deadline ber dig installera något före fredag. "Assume Breach" ber dig bevisa att du är ren, och ett bevis ligger högre än ett avslutat ändringsärende. De organisationer som fortfarande sitter med detta i september är de som patchade i tid och aldrig såg efter vad seeds användes till under tiden.
Läs vidare: Detta ColdFusion-fel angreps inom minuter | En förfalskad token öppnar varje pc verktyget styr



