Im Zentrum des Falls stehen die Schwachstellen CVE-2026-15409 und CVE-2026-15410 in SonicWalls SMA 1000 Series. SonicWall zufolge können sie zusammen einem beliebigen, nicht authentifizierten Angreifer die Ausführung von Remote Code und anschließend Befehle auf Root-Ebene ermöglichen. Für beide Lücken veröffentlichte der Hersteller in dieser Woche einen Hotfix.

Besonders kritisch ist CVE-2026-15409. Dabei handelt es sich um eine Server-Side-Request-Forgery-Schwachstelle in der Weboberfläche „Work Place“ der SMA-Appliances. Sie erlaubt es laut Beschreibung, über das Internet präparierte Webanfragen einzuschleusen, die das Portal dazu bringen, Anfragen im Namen des Angreifers an interne oder anderweitig abgeschottete Dienste zu senden. Die Schwachstelle erfordert keine Authentifizierung und erhielt mit 10,0 die Höchstwertung im CVSS.

CVE-2026-15410 ist mit einem CVSS-Wert von 7,2 niedriger eingestuft, bleibt aber gravierend. Voraussetzung ist, dass ein Angreifer die Appliance Management Console, also die Administrationsoberfläche eines bereits erreichbaren Geräts, erreichen kann. Ist das gegeben, lässt sich über die Code-Injection-Lücke die Ausführung beliebiger Befehle auf Betriebssystemebene erreichen.

Wie die beiden Schwachstellen konkret verkettet werden, erläuterte SonicWall nicht. Rapid7 beschreibt jedoch einen plausiblen Ablauf: Angreifer nutzen zunächst CVE-2026-15409, um Codeausführung zu etablieren, und wechseln dann zu CVE-2026-15410, um die Eskalation vom nicht authentifizierten Außenzugriff bis zu Root-Rechten abzuschließen. Für CVE-2026-15409 veröffentlichten die Forscher zudem einen Proof of Concept auf GitHub.

Rapid7 legte am 15. Juli weitere Details nach. Laut Telemetriedaten nutzten nicht identifizierte Akteure die Appliances als Vektor für den Erstzugriff, um Eingabevalidierungen zu umgehen und Befehle auf Betriebssystemebene auszuführen. Anschließend sicherten sie ihre Präsenz, indem sie Zugangsdaten, Datenbanken aktiver Sitzungen und die Seeds zur Erzeugung einmaliger Anmeldecodes stahlen. Danach bewegten sie sich seitlich von kompromittierten SMA-Systemen durch Unternehmensnetzwerke und zielten dabei insbesondere auf Domain Controller.

Zwei Tage später ordnete Rapid7 die Aktivität konkret der Inc-Ransomware zu. Brett Deroche, Director of Incident Response bei Rapid7, sagte Dark Reading, man habe in der Mehrzahl der Fälle erfolgreich Datenabfluss und Verschlüsselung verhindert; inzwischen gebe es jedoch einen aktiven Fall, in dem die Ausbringung von Ransomware gelungen sei.

Deroche betonte zudem, dass ein kompromittiertes Edge-Gerät selten das eigentliche Endziel der Angreifer sei, sondern nur der Einstiegspunkt. Das Ziel bleibe die Monetarisierung, die in jüngerer Zeit überwiegend über doppelte Erpressung mit Datenabfluss und Verschlüsselung erreicht werde. Gerade SonicWall-SMA-1000-Appliances sind aus Sicht von Angreifern attraktiv, weil sie das Tor zwischen dem offenen Web und internen Netzwerken bilden. Laut Text können Angreifer darüber Zugang zu sensiblen Systemen und Daten gewinnen, eigene Konten anlegen und eigenen Code einschleusen.

SonicWall vermarktet die SMA-Produkte zudem als hochwertige Sicherheitslösungen für Regierungsbehörden, Managed Security Service Provider und mittelgroße bis multinationale Unternehmen. Das könnte laut Bericht mit erklären, warum Angreifer SonicWall fortlaufend ins Visier nehmen, in einer Frequenz, die mit anderen Anbietern von Edge-Geräten wie Fortinet und Ivanti verglichen wird.

Rapid7 warnt ausdrücklich davor, die Gefahr nach dem Einspielen des Updates als erledigt zu betrachten. Laut Deroche reicht das bloße Anwenden des Hersteller-Patches nicht mehr aus, wenn eine Appliance bereits kompromittiert wurde. In beobachteten Fällen hätten SonicWall-Kunden zwar gepatcht, aber keine sofortige vollständige forensische Untersuchung durchgeführt. In der Folge hätten Angreifer ihre Persistenz behalten und den neu eingespielten Patch wieder auf einen verwundbaren Zustand zurückgesetzt, um den Zugriff aufrechtzuerhalten. Rapid7 fordert deshalb eine umfassende forensische Überprüfung der Firewall, um die Angreifer vollständig zu verdrängen.