SECURITY ADVISORY

Post-Auth-Code-Injection in der SonicWall SMA1000 Management Console

In der Appliance Management Console (AMC) der SonicWall SMA1000-Serie steckt eine Code-Injection-Schwachstelle: Ein aus dem Netz erreichbarer, als Administrator angemeldeter Angreifer kann unter bestimmten Bedingungen beliebige Betriebssystem-Befehle auf der Appliance ausführen. Die Lücke wird aktiv ausgenutzt – in beobachteten Angriffen in Kombination mit der kritischen SSRF-Schwachstelle CVE-2026-15409, über die sich Angreifer die nötige Zugriffs- bzw. Administratorposition erst verschaffen. Seit dem 14. Juli 2026 ist die Schwachstelle im CISA-KEV-Katalog gelistet.

CVE-ID

cve-id

CVSS

cvss-2

Schweregrad

schweregrad

Hersteller

hersteller

Produkt

produkt

Veröffentlicht

veroffentlicht-am

CISA-KEV

cisa-kev

Advisory als PDF herunterladen
Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Cyber-Notfall? Soforthilfe
Vulnerability Management

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.

Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.