Злоумышленники используют критическую уязвимость в SolarWinds Web Help Desk — менее чем через неделю после того, как поставщик раскрыл и устранил ошибку с рейтингом 9,8. Об этом сообщает ведущее американское агентство по кибербезопасности, установившее пятницу как крайний срок для федеральных учреждений по устранению уязвимости.
Атакованная уязвимость, CVE-2025-40551, представляет собой небезопасную десериализацию, которая может привести к удаленному выполнению кода, позволяя удаленному неаутентифицированному злоумышленнику выполнять команды ОС на затронутой системе.
SolarWinds устранил уязвимость вместе с пятью другими в версии Web Help Desk 2026.1, выпущенной 28 января. Исследователи Horizon3.ai и watchTowr сообщили поставщику программного обеспечения об этих шести ошибках, при этом Horizon3 предупредил, что «эти уязвимости легко использовать».
Хотя на момент обнаружения не было известно ни одного случая эксплуатации в реальных условиях, охотники за угрозами Rapid7 заявили, что «мы ожидаем, что ситуация изменится, как только технические детали станут доступны».
Кроме того, они отметили, что продукт SolarWinds Web Help Desk дважды ранее появлялся в каталоге CISA «Известные эксплуатируемые уязвимости», оба раза в 2024 году, «указывая на то, что он является целью для реальных злоумышленников».
Это были CVE-2024-28987, критическая уязвимость с жестко закодированными учетными данными для входа, и CVE-2024-28986, уязвимость RCE десериализации, которая была исправлена трижды, прежде чем исправление сработало и злоумышленники не смогли его обойти.
Хотя мы не знаем, кто атакует последнюю уязвимость Web Help Desk и что они делают с доступом к уязвимым машинам, сокращенный срок для федеральных учреждений указывает на серьезную угрозу.
Федеральные учреждения, как правило, обязаны устранять известные эксплуатируемые уязвимости в течение 14 дней после добавления ошибок в каталог. Однако в срочных случаях CISA устанавливает более короткий срок, обычно неделю, но в данном случае CVE-2025-40551 — всего три дня.
SolarWinds не сразу ответила на вопросы The Register о размере и масштабах эксплуатации. Мы обновим эту статью, если получим ответ. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons




