Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses
 
Dutch follows English

On July 14th 2026 SonicWall disclosed two critical vulnerabilities affecting SonicWall SMA1000 Series Appliances. These vulnerabilities are reportedly under active exploitation and affected customers are urged to update to platform-hotfix versions 12.4.3-03453 or 12.5.0-02835, or later releases, immediately as well as checking for signs of compromise [1].

Description
Two serious security flaws affect SonicWall SMA1000 Series appliances (models 6210, 7210, and 8200v) regarding the versions 12.4.3-03245 through 12.4.3-03434 and 12.5.0-02283 through 12.5.0-02800:
  1. CVE-2026-15409 - This vulnerability has been identified in the SMA1000 Appliance Work Place interface and allows a remote unauthenticated attacker to manipulate the appliance to make requests to unintended locations. This Server-side request forgery (SSRF) vulnerability has the maximum CVSS severity score of 10.0 [2].
  2. CVE-2026-15410 - Affecting the SMA1000 Appliance Management Console (AMC), this post-authentication vulnerability allows a remote authenticated attacker to execute arbitrary OS commands as administrator under specific conditions. This vulnerability has been assigned a CVSS score of 7.2 [3].
SonicWall has confirmed active exploitation of these vulnerabilities in real-world attacks.

Impact
We estimate the impact of these vulnerabilities as HIGH. The vulnerabilities affect internet-facing security devices providing access into internal networks which makes them highly valuable targets. An attacker successfully exploiting these vulnerabilities can gain unauthorised access to the security device and execute arbitrary code gaining control of your appliance. Furthermore, it can serve as a stepping stone for an attacker to other systems within the environment.Risk
We estimate the risk of these vulnerabilities as HIGH, as there are reports of active exploitation and they affect externally-exposed security devices.The primary risk associated with this vulnerability is unauthorised access to your environment by an unauthenticated remote attacker, potentially leading to lateral movement.

Mitigation
SonicWall has released security updates that fix these vulnerabilities:
  • For version 12.4.3: Upgrade to platform-hotfix 12.4.3-03453 or higher
  • For version 12.5.0: Upgrade to platform-hotfix 12.5.0-02835 or higher
Updates are available for download from mysonicwall.com.

What should you do?
Apply the security update as soon as possible and check the logs for signs of compromise using indicators SonicWall provides in their advisory [1]:
  • Requests mentioned to /__api__/login or /__api__/logout with http 200 status in ‘extraweb_access.log’
  • Requests mentioned to /wsproxy with suspicious host parameters with 101 http status in 'extraweb_access.log'
  • Mentioned hotfix rollbacks with path traversal names in 'ctrl-service.log'
  • ‘/var/lib/unit/conf.json’ containing routes for /__api__/login or /__api__/logout (these URIs do not exist in legitimate configuration)
If your device shows signs of compromise, a CERT investigation of the attack’s scope and potential lateral movement are crucial and strongly advised by Northwave. SonicWall further recommends completely re-imaging hardware appliances or re-deploying virtual appliances, then changing all passwords and resetting security tokens.

What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can contact us by phone or send us an email if you would like additional information.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.

Sources
[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2026-0008
[2] https://www.cve.org/CVERecord?id=CVE-2026-15409
[3] https://www.cve.org/CVERecord?id=CVE-2026-15410


 
 
Op 14 juli 2026 heeft SonicWall twee kritieke kwetsbaarheden bekendgemaakt die van invloed zijn op SonicWall SMA1000 Series Appliances. Deze kwetsbaarheden zouden actief worden misbruikt en getroffen klanten wordt dringend geadviseerd onmiddellijk te updaten naar platform-hotfixversies 12.4.3-03453 of 12.5.0-02835, of naar latere versies, en daarnaast te controleren op tekenen van compromittering [1].

Beschrijving
Twee ernstige beveiligingslekken treffen SonicWall SMA1000 Series-apparaten (modellen 6210, 7210 en 8200v) in de versies 12.4.3-03245 tot en met 12.4.3-03434 en 12.5.0-02283 tot en met 12.5.0-02800:
  1. CVE-2026-15409 - Deze kwetsbaarheid is vastgesteld in de Work Place-interface van de SMA1000 Appliance en stelt een externe, niet-geauthenticeerde aanvaller in staat het apparaat te manipuleren zodat het verzoeken verstuurt naar onbedoelde locaties. Deze Server-Side Request Forgery (SSRF)-kwetsbaarheid heeft de maximale CVSS-ernstscore van 10,0 [2].
  2. CVE-2026-15410 - Deze kwetsbaarheid treft de SMA1000 Appliance Management Console (AMC) en stelt een externe, geauthenticeerde aanvaller in staat om onder specifieke omstandigheden willekeurige besturingssysteemopdrachten uit te voeren met beheerdersrechten. Aan deze kwetsbaarheid is een CVSS-score van 7,2 toegekend [3].
SonicWall heeft bevestigd dat deze kwetsbaarheden actief worden misbruikt bij aanvallen in de praktijk.

Impact
Wij schatten de impact van deze kwetsbaarheden in als HOOG.
De kwetsbaarheden treffen internetgerichte beveiligingsapparaten die toegang bieden tot interne netwerken, waardoor zij zeer aantrekkelijke doelwitten zijn. Een aanvaller die deze kwetsbaarheden succesvol misbruikt, kan ongeautoriseerde toegang verkrijgen tot het beveiligingsapparaat en willekeurige code uitvoeren, waardoor controle over het apparaat wordt verkregen. Daarnaast kan het apparaat dienen als opstap naar andere systemen binnen de omgeving.

Risico
Wij schatten het risico van deze kwetsbaarheden in als HOOG, omdat er meldingen zijn van actieve uitbuiting en omdat zij betrekking hebben op extern blootgestelde beveiligingsapparaten.Het voornaamste risico van deze kwetsbaarheid is ongeautoriseerde toegang tot uw omgeving door een externe, niet-geauthenticeerde aanvaller, wat mogelijk kan leiden tot laterale beweging binnen het netwerk.

Mitigatie
SonicWall heeft beveiligingsupdates uitgebracht die deze kwetsbaarheden verhelpen:
  • Voor versie 12.4.3: upgrade naar platform-hotfix 12.4.3-03453 of hoger
  • Voor versie 12.5.0: upgrade naar platform-hotfix 12.5.0-02835 of hoger
Updates zijn beschikbaar via mysonicwall.com.

Wat moet u doen?
Pas de beveiligingsupdate zo snel mogelijk toe en controleer de logbestanden op tekenen van compromittering aan de hand van indicatoren die SonicWall in zijn advies vermeldt [1]:
  • Indien in ‘extraweb_access.log’ verzoeken voorkomen naar /__api__/login of /__api__/logout met HTTP-statuscode 200
  • Indien in ‘extraweb_access.log’ verzoeken voorkomen naar /wsproxy met verdachte hostparameters en HTTP-statuscode 101
  • Indien in ‘ctrl-service.log’ vermeldingen voorkomen van hotfix rollbacks met path traversal names
  • Indien ‘/var/lib/unit/conf.json’ routes bevat voor /__api__/login of /__api__/logout (deze URI's komen niet voor in een legitieme configuratie)
Indien uw apparaat tekenen van compromittering vertoont, is een CERT-onderzoek naar de omvang van de aanval en mogelijke laterale verspreiding binnen het netwerk van cruciaal belang en wordt dit door Northwave sterk aanbevolen. SonicWall adviseert daarnaast om hardware-appliances volledig opnieuw te installeren (re-imagen) of virtuele appliances opnieuw uit te rollen, en vervolgens alle wachtwoorden te wijzigen en beveiligingstokens opnieuw in te stellen.

Wat zal Northwave doen?
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.

E-mail: soc@northwave-cybersecurity.com
Heeft u op dit moment een incident? Bel ons Incident Response Team: 00800 1744 0000

Disclaimer van toepassing, zie hieronder.

Bronnen
[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2026-0008
[2] https://www.cve.org/CVERecord?id=CVE-2026-15409
[3] https://www.cve.org/CVERecord?id=CVE-2026-15410
 
 
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.
 
.