SonicWall heeft twee kwetsbaarheden gedicht in zijn SMA1000-appliances, apparaten waarmee organisaties medewerkers op afstand toegang geven tot het bedrijfsnetwerk. Beide lekken werden al als zeroday misbruikt voordat de update beschikbaar was. Het NCSC bracht er een advisory over uit met de zwaarste inschaling: kans hoog, schade hoog.
De eerste kwetsbaarheid, CVE-2026-15409, is een server-side request forgery in de Work Place-interface. Een aanvaller heeft er geen inloggegevens voor nodig: hij kan het apparaat van buitenaf verzoeken laten sturen naar plekken waar dat niet hoort — een klassieke opstap om verder het netwerk in te komen. De tweede, CVE-2026-15410, is een code-injectielek in de beheerconsole waarmee een ingelogde beheerder willekeurige commando’s op het onderliggende besturingssysteem kan uitvoeren. In combinatie zijn ze een beproefd recept: eerst binnenkomen, dan volledige controle pakken.
Remote-accessapparatuur is al jaren favoriet bij zowel ransomwaregroepen als statelijke actoren, om een simpele reden: de apparaten staan per definitie open aan het internet en vormen de poort naar alles erachter. SonicWall-, Citrix-, Ivanti- en Fortinet-appliances wisselen elkaar in de advisories af.
Belangrijk is dat patchen alleen hier niet volstaat. Omdat de lekken al vóór de update werden misbruikt, kan een aanvaller al binnen zijn — en een gecompromitteerd apparaat blijft gecompromitteerd, ook na de patch. Het NCSC adviseert organisaties daarom expliciet om naast het updaten ook de door SonicWall gepubliceerde indicators of compromise na te lopen: sporen in logbestanden en configuraties die op eerdere inbraak wijzen. Beheer je zo’n appliance voor je organisatie of klanten, plan die controle dan deze week nog in.
Bron: NCSC-NL Advisories
Blijf op de hoogte
Volg CybersecurityNieuws.nl via RSS en mis geen enkel beveiligingsnieuws. Zelf iets gezien dat wij moeten weten? Tip de redactie.