Критическая уязвимость в службе Web Help Desk от SolarWinds была добавлена в каталог известных уязвимостей, подвергшихся эксплуатации (Known Exploited Vulnerabilities, Kev) Агентства по кибербезопасности и защите инфраструктуры США (Cisa) на фоне распространения эксплуатации в реальных условиях. CVE-2025-40551 оказалась среди шести распространенных уязвимостей и подверженностей (CVE), раскрытых SolarWinds в консультативном уведомлении в конце января. Она связана с Common Weakness Enumeration (CWE) 502 – десериализацией недоверенных данных, и при отсутствии мер реагирования позволяет злоумышленнику удаленно выполнять код (RCE) на целевой системе. Пять других уязвимостей, перечисленных в консультативном уведомлении SolarWinds от 28 января: CVE-2025-40552 – уязвимость обхода аутентификации; CVE-2025-40553 – еще одна уязвимость RCE, связанная с десериализацией; CVE-2025-40554 – второй обход аутентификации; CVE-2025-40536, позволяющая злоумышленникам обходить средства контроля доступа; и CVE-2025-40537, которая может привести к повышению привилегий. Всем им присвоены маркеры Common Vulnerability Scoring System (CVSS) высокого или критического уровня. Обновление от SolarWinds, обновившее Web Help Desk до версии 2026.1, с тех пор устранило все шесть проблем. В своем анализе исследователь Джими Себри из Horizon3.ai, обнаруживший CVE-2025-40551 в начале декабря, охарактеризовал ее как «легко эксплуатируемую» и призвал пользователей как можно скорее обновиться, особенно учитывая, что она может быть использована без аутентификации. «Злоумышленникам не всегда нужна магия ‘нулевого дня’, когда они могут опираться на надежные, простые в использовании методы, такие как десериализация. Эти уязвимости скрываются в доверенных, обыденных платформах, таких как службы поддержки, и именно поэтому они так опасны», — сказал Джо Бринкли, руководитель отдела исследований угроз в компании Cobalt, специализирующейся на наступательной безопасности. «Риски, подобные этому, часто упускаются из виду до тех пор, пока Cisa не выпустит уведомление Kev. Настоящая проблема заключается не только в RCE; это цепочка. Получив неаутентифицированный доступ администратора, вы смотрите уже не на один компьютер, а на возможность бокового перемещения и полного компрометации. Мы часто видим, как организации недооценивают, насколько быстро происходит переход от появления proof of concept на GitHub к активной эксплуатации. Если вы не занимаетесь проактивной проверкой и симуляцией уже сейчас, вы уже отстаете. Установите патч немедленно», — добавил Бринкли.
Широко используемый продукт
SolarWinds Web Help Desk — это платформа для управления ИТ-услугами и службой поддержки, которая обеспечивает обработку заявок, отслеживание активов, управление соглашениями об уровне обслуживания (SLA) и автоматизацию рабочих процессов для команд ИТ-поддержки. Она широко используется в организациях различного масштаба, и ранее обнаруженные в продукте уязвимости быстро использовались злоумышленниками, поэтому к предупреждениям о последнем наборе уязвимостей следует прислушаться. Ее добавление в каталог Cisa указывает на потенциально высокий уровень уязвимости в федеральном правительстве США и обязывает все затронутые органы завершить обновления в значительно более короткие, чем обычно, сроки — в данном случае к пятнице, 6 февраля. Дейл Хоак, главный специалист по информационной безопасности в RegScale, специализирующейся на управлении, рисках и соответствии требованиям (GRC) в районе Вашингтона, отметил, что короткий срок для устранения уязвимости отражает скорость, с которой операционные риски возрастают, когда уязвимости переходят от теоретических к эксплуатируемым. «Многие организации по-прежнему полагаются на периодические оценки, которые с трудом успевают за угрозами, развивающимися за дни, а не за месяцы», — сказал Хоак. «Ограничение заключается не в осведомленности об уязвимостях, а в скорости, с которой команды могут проверять подверженность угрозам и обеспечивать устранение. Непрерывный мониторинг контрольных показателей помогает сократить этот разрыв, превращая установку патчей и изменения конфигурации в измеримые, проверяемые действия. Этот переход имеет решающее значение для поддержания устойчивости под давлением реальных атак».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
