Im Zentrum der Warnung stehen zwei Schwachstellen in SonicWalls SMA1000-Plattform. CVE-2026-15409 beschreibt SonicWall als kritische Server-Side-Request-Forgery-Schwachstelle in der Schnittstelle Appliance Work Place. Ein entfernter Angreifer ohne Authentifizierung kann damit ein betroffenes System dazu bringen, „Anfragen an nicht vorgesehene Ziele zu senden“.

Die zweite Lücke, CVE-2026-15410, stuft der Hersteller als schwerwiegendes Code-Injection-Problem in der Appliance Management Console (AMC) ein. Ein Angreifer mit Administratorrechten kann darüber beliebige Betriebssystembefehle ausführen. Zusammen können die beiden Fehler nach der knappen Beschreibung des Unternehmens möglicherweise zu einer Angriffskette kombiniert werden.

SonicWall erklärte in seinem Sicherheitshinweis: „SonicWall PSIRT hat mehrere Fälle untersucht, die auf eine aktive Ausnutzung der in diesem Hinweis beschriebenen Schwachstellen hindeuten.“ Der Hersteller nennt keine Urheber der Angriffe. Um die Erkennung möglicher Kompromittierungen zu erleichtern, hat SonicWall aber einige Indikatoren für eine Kompromittierung veröffentlicht.

Betroffen sind die SMA1000-Versionen 6210, 7210 und 8200v. Kunden sollen auf die Hotfix-Versionen 12.4.3-03453 oder 12.5.0-02835 wechseln. Die Warnung ist ausdrücklich als dringlich formuliert, weil es sich nicht nur um theoretische Risiken, sondern um bereits ausgenutzte Zero-Days handelt.

An der Untersuchung der Angriffe war laut Bericht auch Volexity beteiligt. Das Sicherheitsunternehmen wird dafür genannt, Details zu den Zero-Day-Angriffen hat Volexity bislang jedoch nicht veröffentlicht.

Auch die US-Behörde CISA hat reagiert. Sie nahm CVE-2026-15409 und CVE-2026-15410 am Dienstag in ihren Katalog der bekannten aktiv ausgenutzten Schwachstellen, den Known Exploited Vulnerabilities Catalog, auf. Behörden wurden von CISA aufgefordert, die Probleme bis zum 17. Juli zu beheben.

Dass Angreifer Schwachstellen in SonicWall-Produkten ausnutzen, ist laut Bericht nicht ungewöhnlich. Im KEV-Katalog von CISA sind derzeit 17 Schwachstellen aus dem Umfeld von SonicWall aufgeführt, darunter auch Lücken in SMA1000-Appliances.