
Le 14 juillet 2026, SonicWall a confirmé deux failles zero-day activement exploitées dans ses équipements d'accès distant Secure Mobile Access (SMA) série 1000 et publié un firmware corrigé. Le schéma est un risque de concentration en périphérie du réseau : une passerelle SSL VPN très répandue se place devant les systèmes internes, si bien que sa compromission atteint tous ceux qui se trouvent derrière elle, y compris les clients des prestataires gérés qui en exploitent une.
L'équipement censé garder la porte d'entrée peut en devenir la voie d'accès. Le 14 juillet 2026, SonicWall a confirmé que deux vulnérabilités de ses équipements Secure Mobile Access (SMA) série 1000 sont activement exploitées, et a demandé à ses clients d'installer le firmware corrigé, de rechercher des signes de compromission et de réinitialiser les identifiants. Les passerelles SMA 1000 sont des SSL VPN (passerelles qui donnent aux employés un accès distant chiffré aux systèmes internes), utilisées par des entreprises de taille moyenne à grande, des administrations et des prestataires de services de sécurité gérés (MSSP). Toute organisation qui en exploite une, et tout client d'un prestataire qui en exploite une, se trouve sur le chemin d'entrée de cette faille. La leçon : un équipement de sécurité très répandu est un risque de concentration, pas seulement un contrôle.
Ce qui s'est passé
SonicWall a publié l'avis SNWLID-2026-0008 le 14 juillet 2026 et diffusé un firmware corrigé, selon l'entreprise et les comptes rendus de Help Net Security, BleepingComputer et The Hacker News. Deux failles sont en cause. CVE-2026-15409 est une faille critique de falsification de requête côté serveur (SSRF, notée CVSS 10.0) dans l'interface Work Place de l'équipement, qu'un attaquant distant et non authentifié peut utiliser pour forcer l'équipement à envoyer des requêtes vers des emplacements non prévus. CVE-2026-15410 est une faille d'injection de code de gravité élevée (CVSS 7.2) dans la console de gestion de l'équipement, qui permet à un attaquant déjà authentifié comme administrateur d'exécuter des commandes système. Dans les attaques observées jusqu'ici, les deux sont utilisées ensemble. SonicWall indique que l'exploitation est confirmée et, selon ses termes, qu'elle n'est pas propre à SonicWall. L'agence américaine de cybersécurité CISA a ajouté les deux failles à son catalogue des vulnérabilités activement exploitées (KEV), avec une échéance de remédiation au 17 juillet 2026 pour les agences fédérales. Les modèles concernés sont les SMA6210, SMA7210 et SMA8200v.
Pourquoi c'est important pour le risque tiers
Le schéma est un risque de concentration en périphérie du réseau. Une passerelle d'accès distant se place devant les systèmes internes d'une organisation et a la charge d'authentifier tous ceux qui se connectent. Lorsque ce seul produit peut être exploité sans mot de passe, l'attaquant démarre à l'intérieur du périmètre, et non à l'extérieur. L'exposition se démultiplie via les prestataires de services de sécurité gérés. Un prestataire peut exploiter des équipements SMA 1000 pour le compte de nombreuses organisations clientes, si bien qu'une seule passerelle non corrigée peut exposer tout un portefeuille de clients en aval, un effet de quatrième partie. La gamme SMA de SonicWall a été ciblée à plusieurs reprises, par des zero-day comme par d'anciennes failles non corrigées : les acheteurs devraient donc traiter cela comme une exposition récurrente, non comme un cas isolé.
Ce que les équipes doivent en retenir
Deux enseignements. Premièrement, considérer le correctif comme nécessaire mais non suffisant. SonicWall est explicite : les clients doivent supposer une compromission possible, examiner les journaux à la recherche des indicateurs publiés, réinstaller (matériel) ou redéployer (virtuel) les équipements concernés, et réinitialiser les mots de passe des utilisateurs et administrateurs ainsi que les jetons TOTP (mots de passe à usage unique), plutôt que de se contenter d'appliquer la mise à jour. Deuxièmement, interroger ses prestataires, pas seulement ses propres équipes. Si un prestataire de sécurité ou d'informatique gérée exploite des équipements d'accès distant pour vous, obtenez par écrit la confirmation qu'il a corrigé, recherché une compromission et renouvelé les identifiants, et convenez de la façon dont il vous signalera à l'avenir les incidents touchant les équipements de périphérie.
Pour les équipes qui cherchent à savoir quels fournisseurs se trouvent sur leurs chemins d'accès critiques, c'est l'occasion de voir comment fonctionne la surveillance continue des fournisseurs, afin qu'une faille d'équipement chez un prestataire ne devienne pas votre violation invisible.
FAQ
Que doivent faire immédiatement les clients SonicWall SMA 1000 ?
Passer au firmware corrigé (versions 12.4.3-03453 et 12.5.0-02835), puis suivre les consignes de SonicWall pour rechercher les indicateurs de compromission. Si les indicateurs sont présents, SonicWall recommande de réinstaller ou de redéployer l'équipement, de changer les mots de passe des utilisateurs et administrateurs, et de réinitialiser les jetons TOTP. Le correctif seul ne suffit pas.
Les vulnérabilités sont-elles exploitées ?
Oui. SonicWall a confirmé que CVE-2026-15409 et CVE-2026-15410 sont activement exploitées, utilisées ensemble dans les attaques observées. La CISA a ajouté les deux à son catalogue des vulnérabilités activement exploitées (KEV) et fixé une échéance de remédiation au 17 juillet 2026 pour les agences fédérales américaines.
Nous passons par un prestataire géré, pas directement par SonicWall. Sommes-nous concernés ?
Peut-être. Les équipements SMA 1000 sont utilisés par des prestataires de services de sécurité gérés pour donner un accès distant à leurs clients. Si un prestataire qui vous sert en exploite un, son exposition peut vous atteindre. Demandez-lui s'il a corrigé, recherché une compromission et renouvelé les identifiants.
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.


