Actualidad CCN
CCN-CERT AL 06/26 Explotación activa de vulnerabilidades críticas en dispositivos SonicWall SMA1000
- Detalles
Fecha de publicación: 17/07/2026
Nivel de peligrosidad: CRÍTICO
- El CCN-CERT recomienda a las organizaciones que utilicen dispositivos SonicWall SMA1000 afectados que apliquen de inmediato los parches publicados por el fabricante, revisen posibles indicadores de compromiso y extremen las medidas de vigilancia. Se destaca que existe una prueba de concepto (PoC) pública para la explotación de la vulnerabilidad.
El CCN-CERT, del Centro Criptológico Nacional, alerta de la explotación activa de dos vulnerabilidades que afectan a dispositivos SonicWall Secure Mobile Access (SMA) 1000 Series. Las vulnerabilidades, identificadas como CVE-2026-15409 y CVE-2026-15410, permitirían a un atacante la ejecución remota de comandos arbitrarios del sistema operativo por parte de un usuario con privilegios de administrador.
La existencia de una prueba de concepto (PoC) aumenta de forma significativa la probabilidad de nuevos intentos de explotación contra sistemas no actualizados.
Recursos afectados
| Identificador | Recurso afectado | Versiones afectadas | Actualización |
|
CVE-2026-15409 |
SMA1000 Models - 6210, 7210, 8200v |
12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 y 12.5.0-02800, incluidas versiones platform-hotfix indicadas por SonicWall. |
Actualizar a 12.4.3-03453 o 12.5.0-02835 o versiones superiores |
|
CVE-2026-15410 |
SMA1000 Models - 6210, 7210, 8200v |
12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 y 12.5.0-02800, incluidas versiones platform-hotfix indicadas por SonicWall. |
Actualizar a 12.4.3-03453 o 12.5.0-02835 o versiones superiores. |
Indicadores de Compromiso (IOCs)
Los usuarios deben revisar los registros en busca de indicios que incluyan, entre otros:
- si en el archivo extraweb_access.log aparecen solicitudes a /__api__/login o /__api__/logout con código de estado HTTP 200
- si en el archivo extraweb_access.log aparecen solicitudes a /wsproxy con parámetros de host sospechosos y código de estado HTTP 101
- si en el archivo ctrl-service.log aparecen reversiones de hotfixes con nombres que implican recorrido de rutas
- si el archivo /var/lib/unit/conf.json contiene rutas para /__api__/login o /__api__/logout (estas URL no existen en una configuración legítima)
Recomendaciones
El CCN-CERT recomienda a todas las organizaciones que utilicen dispositivos SonicWall SMA1000 Series, adoptar de forma inmediata las siguientes medidas:
- Actualizar a la última versión del hotfix (la última de la plataforma está disponible para su descarga en mysonicwall.com)
- Realizar un análisis forense exhaustivo del sistema para determinar si hay algún indicador de compromiso (IoC).
- Si hay indicadores de compromiso (IoC) en el sistema:
- Restablecer la imagen (hardware) o volver a implementar (virtual) los dispositivos.
- Cambiar las contraseñas de usuario y administrador.
- Restablecer los tokens TOTP.
Más información


