Pic de scan SonicWall en mai 2026 : signal précurseur d'une nouvelle CVE ?

📡 Contexte

Le 21 mai 2026, GreyNoise publie un signal d’alerte basé sur les données de son tag SonicWall SonicOS API Scanner, signalant une activité de scan anormalement élevée ciblant les interfaces de gestion SonicOS de SonicWall.

📊 Activité observée

Entre le 9 et le 18 mai 2026, GreyNoise a enregistré un pic significatif de sessions de scan. Le 12 mai 2026 constitue le pic le plus élevé avec environ 597 000 sessions en une seule journée, soit environ 46 fois le volume quotidien habituel sur ce tag dans les 30 jours précédents.

🔁 Précédent historique : CVE-2026-0400

Un schéma similaire avait été observé au premier trimestre 2026 :

18 janvier : premier pic (J-37 avant la divulgation)
30 janvier : deuxième pic (J-25)
14 février : troisième pic (J-10)
24 février : divulgation de CVE-2026-0400

Ces trois pics avaient précédé la divulgation de la CVE. GreyNoise souligne qu’il s’agit d’un précédent observé, non d’une règle établie.

🛠️ Caractéristiques techniques du scan actuel

User-agent : ~99% des requêtes utilisent Chrome 119 sur Linux x86_64 (même fingerprint que lors des scans Q1 2026 à 94,5%)
Infrastructure source : ~56% des sessions proviennent de réseaux annoncés aux Pays-Bas, ~44% en Ukraine (>99% du volume total)
Concentration : un seul ASN (AS211736) représente environ la moitié du volume total ; les IPs sont majoritairement classifiées comme Suspectes par GreyNoise
Ports ciblés : 80 et 8080 (HTTP) pour la quasi-totalité du scanning

📌 Nature de l’article

Il s’agit d’une alerte de sécurité / signal de menace publiée par GreyNoise, dont le but principal est de signaler une anomalie comportementale dans les données de scan réseau pouvant indiquer une activité de reconnaissance précédant une future divulgation de vulnérabilité SonicWall.

🧠 TTPs et IOCs détectés

TTP

T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)
T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)

IOC

CVEs : CVE-2026-0400 — NVD · CIRCL

🟡 Indice de vérification factuelle : 39/100 (moyenne)

⬜ greynoise.io — source non référencée (0pts)
✅ 4423 chars — texte complet (fulltext extrait) (15pts)
✅ 1 IOC(s) (6pts)
⬜ pas d’IOC vérifié (0pts)
✅ 2 TTP(s) MITRE (8pts)
✅ date extraite du HTML source (10pts)
⬜ aucun acteur de menace nommé (0pts)
⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.greynoise.io/blog/sonicwall-scanning-spike-echoes-pattern-preceded-cve-2026-0400

📡 Contexte#

📊 Activité observée#

🔁 Précédent historique : CVE-2026-0400#

🛠️ Caractéristiques techniques du scan actuel#

📌 Nature de l’article#

🧠 TTPs et IOCs détectés#

TTP#

IOC#

🟡 Indice de vérification factuelle : 39/100 (moyenne)#