Betroffen sind SonicWall-Appliances der Serie Secure Mobile Access (SMA) 1000. Der Hersteller erklärte, man habe „mehrere Fälle untersucht, die auf eine aktive Ausnutzung der Schwachstellen hindeuten“, und drängt Kunden dazu, die verfügbaren Korrekturen umgehend einzuspielen.

Besonders schwer wiegt, dass sich eine der beiden Zero-Day-Lücken zur Ausführung beliebiger Befehle missbrauchen lassen könnte. Der Quelltext nennt zwar keine weiteren technischen Einzelheiten zu den beiden Schwachstellen, macht aber deutlich, dass es sich um bereits ausgenutzte Zero-Days handelt, für die SonicWall inzwischen Updates bereitstellt.

Zusätzlich zur Installation der Patches rät SonicWall zu einer gründlichen forensischen Analyse der betroffenen Systeme. Ziel ist es, das Vorhandensein von Kompromittierungsindikatoren festzustellen, die mit einer Ausnutzung der Schwachstellen zusammenhängen. Der Hersteller verweist dabei auf konkrete IoCs, die im Rahmen der Untersuchung geprüft werden sollen.

Wenn einer dieser Indikatoren festgestellt wird, empfiehlt SonicWall weiterreichende Schritte: Physische Appliances sollen neu aufgesetzt, virtuelle Appliances erneut bereitgestellt, Benutzer- und Administrator-Passwörter geändert sowie zeitbasierte Einmalpasswort-Token zurückgesetzt werden. Damit verbindet der Hersteller die Patch-Empfehlung ausdrücklich mit einer Überprüfung, ob Systeme bereits kompromittiert wurden.

Die Entdeckung und Meldung der Schwachstellen schreibt SonicWall Adam Babis aus dem Product Security Incident Response Team (PSIRT) zu. Außerdem bedankt sich das Unternehmen bei Sean Koessel und Steven Adair von Volexity, die laut SonicWall dazu beigetragen haben, die interne Untersuchung voranzubringen und einen zusätzlichen Kompromittierungsindikator zu identifizieren.

Die Warnung hat auch eine Reaktion der US-Behörde CISA ausgelöst. Die Behörde nahm beide Schwachstellen in ihren Katalog der Known Exploited Vulnerabilities (KEV) auf. Für Behörden der Federal Civilian Executive Branch (FCEB) bedeutet das, dass die Korrekturen bis zum 17. Juli 2026 eingespielt werden müssen.