Vulnérabilités SonicWall SMA 1000 : SSRF et exécution de code activement exploitées
Lysandre Beauchêne
Selon un bulletin d’alerte de SonicWall, deux vulnérabilités critiques affectant la gamme SMA 1000 sont activement exploitées dans la nature. La plus grave, une faille SSRF non authentifiée notée 10.0 sur l’échelle CVSS, permet à un attaquant distant de forcer l’appliance à envoyer des requêtes vers des destinations internes non autorisées. Une seconde faille, d’exécution de code après authentification, complète ce tableau inquiétant. Pour les entreprises françaises qui utilisent ces appliances pour l’accès distant et la connectivité sécurisée, la situation est urgente : des correctifs sont disponibles, mais aucun contournement n’existe. Cet article décrit en détail ces vulnérabilités SonicWall SMA 1000, leur impact, les versions concernées et les mesures de remédiation immédiates à prendre.
Vulnérabilités SonicWall SMA 1000 : décryptage des deux failles
CVE-2026-15409 : SSRF non authentifié avec score CVSS 10.0
Identifiée sous le code CVE-2026-15409, cette vulnérabilité de type Server-Side Request Forgery (SSRF) réside dans l’interface Work Place de l’appliance SMA 1000. Classée CWE-918, elle peut être exploitée à distance sans aucune authentification ni interaction de l’utilisateur. Cela signifie qu’un attaquant, simplement en envoyant une requête HTTP spécialement conçue, peut contraindre l’appliance à initier des demandes vers des destinations qu’elle n’aurait jamais dû atteindre.
Dans la pratique, un tel défaut peut permettre de sonder des services internes hébergés derrière le pare-feu - bases de données, API d’administration, métadonnées cloud - et d’y exfiltrer des données sensibles. Le risque de compromission totale de la confidentialité, de l’intégrité et de la disponibilité est maximal, comme l’indique le score CVSS de 10.0. Selon SonicWall, des acteurs malveillants exploitent déjà cette faille dans la nature, ce qui rend la correction prioritaire.
CVE-2026-15410 : injection de code après authentification (score 7.2)
La seconde vulnérabilité, CVE-2026-15410, est une faille d’injection de code (CWE-94) dans la console de gestion AMC (Appliance Management Console). Contrairement à la précédente, elle nécessite d’être authentifié avec des privilèges d’administrateur. Sous certaines conditions, un attaquant peut exécuter des commandes arbitraires sur le système d’exploitation sous-jacent. Bien que le score CVSS soit de 7.2, l’impact reste critique : une fois le code exécuté, l’attaquant peut prendre le contrôle total de l’appliance.
« Ces deux vulnérabilités combinées représentent un risque majeur pour les infrastructures de télétravail et d’accès distant. » - Extrait du bulletin SNWLID-2026-0008
Versions affectées et correctifs disponibles
Quels modèles et quelles versions sont concernés ?
Les appareils concernés sont les modèles SMA 1000 : 6210, 7210 et 8200v. Les versions logicielles suivantes sont vulnérables :
- Version 12.4.3 : 12.4.3-03245, 12.4.3-03387, 12.4.3-03434 (correctifs plateforme)
- Version 12.5.0 : 12.5.0-02283, 12.5.0-02624, 12.5.0-02800 (correctifs plateforme)
Aucune version antérieure n’est explicitement mentionnée, mais il est prudent de considérer toutes les versions comme vulnérables jusqu’à preuve du contraire.
Comment corriger ?
SonicWall a publié des correctifs dans les versions suivantes :
- 12.4.3-03453 ou ultérieure (correctif plateforme hotfix)
- 12.5.0-02835 ou ultérieure (correctif plateforme hotfix)
Aucun contournement n’existe. La seule action efficace est d’appliquer le correctif immédiatement.
Les administrateurs doivent se connecter à MySonicWall, télécharger le dernier hotfix et l’installer sur tous les SMA 1000 exposés à Internet. Ne pas oublier les appliances en DMZ ou utilisées pour le VPN SSL.
Important : ces vulnérabilités n’affectent pas les services SSL-VPN des pare-feux SonicWall ni les appliances SMA 100 Series. Seules les gammes SMA 1000 sont concernées.
Impact concret pour les entreprises françaises
Un scénario d’attaque réaliste
Prenons l’exemple d’une PME française utilisant un SonicWall SMA 1000 pour le télétravail de ses 200 collaborateurs. L’appliance est exposée sur Internet, comme c’est souvent le cas. Un attaquant exploite la faille SSRF (CVE-2026-15409) pour interroger le serveur de base de données interne hébergé sur le même réseau. En quelques minutes, il peut extraire des identifiants ou des données clients. En combinant avec la seconde faille (après avoir compromis un compte admin via hameçonnage), il peut exécuter un ransomware.
Selon une étude de l’ANSSI publiée en 2025, 67 % des incidents de cybersécurité signalés en France impliquent une faille non corrigée sur un équipement périphérique. Ce cas illustre parfaitement l’urgence de patcher.
Statistiques clés
| Élément | Valeur |
|---|---|
| Score CVSS CVE-2026-15409 | 10.0 (critique) |
| Score CVSS CVE-2026-15410 | 7.2 (élevé) |
| Exploitation active confirmée | Oui (selon SonicWall) |
| Nombre de modèles SMA 1000 impactés | 3 (6210, 7210, 8200v) |
| Délai recommandé pour patcher | Moins de 48 heures |
Procédure de remédiation pas à pas
Étape 1 : Identifier les appliances exposées
- Consultez votre inventaire réseau pour localiser tous les SMA 1000.
- Vérifiez leur version logicielle via l’interface AMC :
System > Status. - Identifiez ceux qui sont accessibles depuis Internet (adresse IP publique, ouverture de port 443).
Étape 2 : Télécharger le correctif
- Connectez-vous à MySonicWall avec un compte disposant des droits de téléchargement.
- Recherchez la version appropriée : 12.4.3-03453 ou 12.5.0-02835 selon votre branche.
- Téléchargez le fichier « platform hotfix ».
Étape 3 : Appliquer le correctif
- Via l’interface AMC, allez dans
Maintenance > Firmware Update. - Téléversez le fichier et lancez la mise à jour. L’appliance redémarrera.
- Vérifiez que la version affichée correspond bien à la version corrigée.
Étape 4 : Analyser les logs
- Consultez les logs de l’appliance, des proxy et de l’authentification pour détecter des requêtes suspectes.
- Recherchez des adresses IP inconnues ayant accédé à l’interface Work Place ou AMC.
- Signalez tout comportement anormal à votre équipe SOC ou à l’ANSSI via le formulaire de signalement.
Questions fréquentes sur ces vulnérabilités SonicWall SMA 1000
Les pare-feux SonicWall sont-ils concernés ?
Non. Le bulletin SNWLID-2026-0008 précise que les services SSL-VPN des pare-feux SonicWall (générations 6 et 7) ne sont pas affectés. Seules les appliances SMA 1000 sont vulnérables.
Existe-t-il une solution de contournement en attendant le correctif ?
Aucune. SonicWall indique qu’il n’y a pas de workaround. La seule action est de patcher ou, à défaut, de déconnecter l’appliance d’Internet temporairement.
Comment savoir si mon SMA 1000 a été compromis ?
Recherchez dans les logs :
- Des requêtes HTTP vers des adresses IP internes (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) provenant de l’extérieur.
- Des commandes inhabituelles dans les logs AMC (exécution de scripts, modification de configurations).
- Des connexions sortantes vers des serveurs inconnus.
Conclusion : agir sans délai pour sécuriser vos accès distants
Les vulnérabilités SonicWall SMA 1000 exploitées activement (CVE-2026-15409 et CVE-2026-15410) constituent une menace immédiate pour toute organisation utilisant ces appliances. Le score CVSS maximal de la faille SSRF et l’absence de contournement imposent une mise à jour urgente, en priorité sur les systèmes exposés à Internet. Au-delà du correctif, une analyse forensique des logs est recommandée pour détecter une éventuelle compromission déjà survenue.
Ne retardez pas cette opération. Comme le rappelle l’ANSSI dans son guide de gestion des vulnérabilités 2025, le délai moyen entre la publication d’un correctif et son exploitation massive est de moins de 72 heures. Protégez vos données, vos collaborateurs et votre infrastructure en appliquant dès aujourd’hui le correctif recommandé par SonicWall.