SonicWall SMA1000 CVE-2026-15409 RCE: Patch bis 17. Juli

SonicWall hat bestätigt, dass die SonicWall SMA1000 CVE-2026-15409 RCE-Kette aktiv ausgenutzt wird: Ein unauthentifizierter Angreifer kann eine Ziel-Appliance zu beliebigen Requests zwingen und anschließend zu vollständiger administrativer Befehlsausführung eskalieren — ohne an irgendeiner Stelle einen gültigen Login zu benötigen. CISA hat beide Lücken in den Known-Exploited-Vulnerabilities-Katalog aufgenommen, mit einer Bundesbehörden-Frist zum 17. Juli 2026.
Was ist passiert
SonicWalls eigener Produkthinweis, veröffentlicht und zuletzt aktualisiert am 14. Juli 2026, bestätigt, dass zwei Schwachstellen in den SMA1000 Secure-Mobile-Access-Appliances (Modelle 6210, 7210, 8200v sowie CMS auf allen unterstützten Hypervisors) aktiv ausgenutzt werden. CVE-2026-15409 (CVSS 10.0, kritisch) ist eine Server-Side-Request-Forgery im Appliance-Work-Place-Interface, die einem entfernten, unauthentifizierten Angreifer erlaubt, die Appliance zu Requests an unbeabsichtigte interne Ziele zu zwingen. CVE-2026-15410 (CVSS 7.2, hoch) — von SonicWall selbst als Remote Code Execution eingestuft — ist eine Post-Authentication-Schwachstelle in der Management Console, die einer authentifizierten Administrator-Session erlaubt, beliebige Betriebssystembefehle auszuführen. Verkettet ergibt der SonicWall SMA1000 CVE-2026-15409 RCE-Pfad für einen unauthentifizierten Angreifer administrative Befehlsausführung auf der Appliance. Betroffene Firmware: 12.4.3 Builds 03245/03387/03434 und 12.5.0 Builds 02283/02624/02800.
Warum das wichtig ist
SMA1000-Appliances stehen an der Eingangstür der Remote-Access-Infrastruktur eines Unternehmens — genau die Funktion, die diese Lücke gegen ihren Besitzer wendet. Dies ist die zweite SonicWall-Produktlinie, die DIESEC 2026 als ausgenutzt dokumentiert, nach dem Gen6-Firewall-SSL-VPN-MFA-Bypass im Mai, und insgesamt die zehnte unterschiedliche Edge-Device-Produktlinie im diesjährigen Ausnutzungs-Bogen. Für Mittelstand- und MSP-verwaltete Umgebungen im DACH-Raum, in denen SMA1000 Zugänge für Auftragnehmer oder Homeoffice-VPN bereitstellt, bedeutet eine unauthentifizierte RCE-Kette, dass die Appliance selbst — nicht ein gestohlenes Zugangsdatensatz — der initiale Zugriffsvektor ist, was ändert, was ein Incident-Response-Plan zuerst prüfen muss.
Was Sie jetzt tun sollten
- Aktualisieren Sie alle SMA1000-Appliances (Hardware und virtuell) sofort über MySonicWall auf Hotfix 12.4.3-03453 oder 12.5.0-02835 oder neuer.
- Bevor Sie davon ausgehen, dass Patchen allein ausreicht: Führen Sie eine forensische Prüfung auf die von SonicWall veröffentlichten Kompromittierungsindikatoren durch — verdächtige 200-Status-Requests auf
/__api__/loginoder/__api__/logoutim extraweb_access.log, ungewöhnliche Host-Parameter bei/wsproxy-Requests, „hotfix removal“-Path-Traversal-Einträge im ctrl-service.log sowie unerwartete Login/Logout-Routen in/var/lib/unit/conf.json. - Wenn ein Kompromittierungsindikator vorliegt, reicht Patchen allein nicht: Appliances neu abbilden (Hardware) bzw. neu bereitstellen (virtuell), sämtliche Benutzer- und Administrator-Passwörter rotieren und alle TOTP-Token zurücksetzen.
- Stellen Sie ein Konfigurations-Backup nur wieder her, wenn es vor den Dezember-Hotfix-Builds (12.4.3-03245 / 12.5.0-02283) liegt; existiert kein früheres Backup, prüfen Sie die aktuelle Konfiguration manuell auf Manipulation, statt sie als unbedenklich einzustufen.
DIESEC Einschätzung
SonicWalls eigene Handlungsempfehlung geht weit über „Patch installieren“ hinaus — sie fordert Kunden explizit auf, im Zweifel von einer Kompromittierung auszugehen und das Vertrauen in die Appliance komplett neu aufzubauen, falls ein Indikator gefunden wird. Das ist ein stärkeres Signal für den Ernst der Lage als der CVSS-Wert allein vermittelt — und genau die Art von Herstellerhinweis, die übersehen wird, wenn Patch-Management als reine Checkbox-Übung behandelt wird.
Nicht sicher, ob Ihre Remote-Access-Appliances bereits angetestet oder kompromittiert wurden? Kontaktieren Sie DIESEC für eine schnelle Patch-Verifizierung und Kompromittierungsprüfung.
Quellen: SonicWall Product Notice | BleepingComputer
Veröffentlicht: 2026-07-17 | Kategorie: Tägliche News | ~4 Min. Lesezeit

