Faille critique SonicWall SMA 1000 : SSRF et RCE activement exploitées - Mettez à jour d'urgence
Théophane Villedieu
Une vulnérabilité de type server-side request forgery (SSRF) affectant les appliances SonicWall SMA 1000 a reçu le score CVSS maximal de 10,0. L’éditeur confirme que des acteurs malveillants exploitent activement cette faille ainsi qu’une seconde vulnérabilité d’exécution de code à distance (RCE) dans la nature.
Selon l’avis de sécurité SNWLID-2026-0008 publié par SonicWall, les versions logicielles 12.4.3 et 12.5.0 des gammes SMA 6210, 7210 et 8200v sont concernées. Aucune solution de contournement n’existe ; seule une mise à jour immédiate vers les correctifs platform hotfix 12.4.3-03453 ou 12.5.0-02835 (ou versions ultérieures) peut protéger votre infrastructure.
CVE-2026-15409 : une SSRF non authentifiée au score CVSS 10.0
Identifiée sous le code CVE-2026-15409, cette vulnérabilité SSRF affecte l’interface Work Place des appliances SMA 1000. Classée CWE-918, elle permet à un attaquant distant, sans aucune authentification ni interaction utilisateur, de forcer l’appliance à envoyer des requêtes HTTP vers des destinations non prévues.
« Un score CVSS de 10.0 signifie que la faille peut être exploitée à distance, sans privilège, et conduire à une compromission totale de la confidentialité, de l’intégrité et de la disponibilité. » - Extrait de l’avis SonicWall.
Les SSRF sont particulièrement dangereuses sur les infrastructures exposées à Internet. Un attaquant peut utiliser l’appliance comme pivot pour accéder à des services internes, des endpoints de métadonnées cloud (comme ceux d’AWS ou Azure), des interfaces d’administration ou d’autres ressources réseau normalement protégées. Dans la pratique, une telle brèche peut permettre d’extraire des clés API, de contourner des pare-feu ou de lancer des attaques supplémentaires.
Exemple concret : détournement via SSRF
Imaginez une entreprise française utilisant un SMA 1000 pour le télétravail. Un attaquant cible l’interface publique de l’appliance. Grâce à la SSRF, il envoie une requête vers l’endpoint de métadonnées du fournisseur cloud (par exemple http://169.254.169.254/latest/meta-data/). Il récupère ainsi des credentials temporaires lui permettant d’accéder aux serveurs de production hébergés sur le cloud. En quelques minutes, les données sensibles sont compromises.
CVE-2026-15410 : exécution de code après authentification
La seconde vulnérabilité, CVE-2026-15410, est une faille d’injection de code dans la console d’administration (AMC) des SMA 1000. Classée CWE-94 (« Improper Control of Generation of Code »), elle nécessite un accès authentifié avec des droits administrateur et des conditions spécifiques. Son score CVSS est de 7,2, ce qui reste élevé compte tenu de l’impact potentiel (exécution de commandes système arbitraires).
« Bien que l’exploitation de cette RCE exige des privilèges élevés, sa combinaison avec la SSRF (qui permet d’obtenir un accès initial) rend le couple de vulnérabilités particulièrement redoutable. » - Analyse des équipes de réponse aux incidents.
Versions affectées et correctifs
SonicWall précise que les services SSL-VPN intégrés aux firewalls SonicWall ainsi que les appliances SMA de la série 100 ne sont pas concernés.
| Gamme | Versions affectées (12.4.3) | Versions affectées (12.5.0) | Versions corrigées |
|---|---|---|---|
| SMA 6210 | 12.4.3-03245, -03387, -03434 | 12.5.0-02283, -02624, -02800 | ≥ 12.4.3-03453 ou ≥ 12.5.0-02835 |
| SMA 7210 | idem | idem | idem |
| SMA 8200v | idem | idem | idem |
Aucune solution de contournement n’est disponible. Les administrateurs doivent impérativement télécharger le correctif depuis le portail MySonicWall et appliquer la mise à jour sur toutes les appliances exposées sur Internet.
Recommandations actionnables pour les équipes sécurité
- Identifier les appliances exposées - Recensez tous les SMA 1000 accessibles depuis l’extérieur (scan réseau, inventaire CMDB).
- Mettre à jour sans délai - Planifiez une fenêtre de maintenance pour appliquer le platform hotfix. Priorisez les unités accessibles publiquement.
- Vérifier les logs - Examinez les journaux de l’appliance, de l’authentification, du proxy et du réseau pour détecter des requêtes suspectes.
- Exemple de commande pour rechercher des connexions sortantes inhabituelles sous Linux (si applicable) :
sudo grep -r "169.254.169.254" /var/log/sonicwall/*.log - Surveiller les activités administratives - Recherchez des connexions administrateur inattendues ou des modifications de configuration.
- Renforcer la segmentation réseau - Même après la mise à jour, limitez les capacités de l’appliance à accéder aux ressources internes non nécessaires.
Questions fréquentes sur la faille SonicWall SMA 1000
Qu’est-ce qu’une vulnérabilité SSRF ?
Le Server-Side Request Forgery (SSRF) permet à un attaquant d’envoyer des requêtes HTTP depuis le serveur vulnérable vers des destinations qui ne devraient pas être accessibles depuis l’extérieur. C’est une technique souvent utilisée pour sonder des réseaux internes ou interagir avec des services cloud.
Les pare-feux peuvent-ils bloquer l’exploitation ?
Partiellement. Un WAF peut détecter certaines tentatives de SSRF basées sur des patterns d’URL, mais la CVE-2026-15409 contourne l’authentification. La seule protection fiable est la mise à jour.
Dois-je mettre à jour si mon SMA 1000 n’est pas exposé à Internet ?
Oui. Un attaquant pourrait exploiter d’autres vecteurs (ex. poste interne compromis) pour atteindre l’appliance. De plus, la RCE CVE-2026-15410 reste exploitable par un administrateur malveillant ou après un premier accès.
L’importance d’une gestion proactive des correctifs
Ces vulnérabilités nous rappellent que les appliances de sécurité elles-mêmes peuvent devenir le maillon faible. Selon une étude de l’ANSSI en 2025, 70 % des incidents de cybersécurité en France impliquent une vulnérabilité connue non corrigée. « Mettre à jour n’est plus une option, c’est une obligation réglementaire et opérationnelle », souligne le rapport.
Conclusion : agissez sans attendre
Les failles SSRF et RCE des SonicWall SMA 1000 sont activement exploitées. Le score CVSS maximal de 10,0 sur la première vulnérabilité ne laisse aucune marge : mettez à jour vos appliances dès aujourd’hui. Téléchargez le platform hotfix depuis MySonicWall, appliquez-le sur toutes les unités concernées, et renforcez la surveillance de vos logs. La sécurité de votre réseau distant en dépend.