Системы SolarWinds Web Help Desk (WHD) подвергаются атакам. Анализ отчетов клиентов, проведенный компанией Huntress, показал, что недавние инциденты используют цепочку уязвимостей нулевого дня и уже исправленных уязвимостей, датируемых концом 2025 года.
До сих пор было неясно, какая именно комбинация недавних уязвимостей WHD стоит за серией компрометов систем клиентов, впервые обнаруженных в декабре.
28 января SolarWinds опубликовала рекомендацию, в которой упоминались шесть CVE с рейтингом «критический» или «высокий». Среди них были два эксплойта нулевого дня с показателем CVSS 9.8: CVE-2025-40551, уязвимость десериализации, позволяющая удаленно выполнять код (RCE), и CVE-2025-40536, обход аутентификации.
Даже команда Microsoft Defender Research, которая обнаружила атаки на своих клиентов до Рождества, не была уверена, какая именно комбинация позволила злоумышленникам проникнуть в систему: «Поскольку атаки произошли в декабре 2025 года и на машинах, уязвимых одновременно как к старому, так и к новому набору CVE, мы не можем достоверно подтвердить точный CVE, использованный для получения первоначального доступа», — написали исследователи Microsoft 6 февраля.
Однако в последние дни Huntress подтвердила наиболее вероятное объяснение: злоумышленники нацелились на трех ее клиентов, используя цепочку из двух вышеупомянутых уязвимостей в сочетании с более старой уязвимостью десериализации RCE, критически важной CVE-2025-26399, опубликованной в сентябре прошлого года.
После компрометации систем атаки, обнаруженные Huntress, использовали смесь техник для углубления проникновения и сокрытия следов, включая развертывание криминалистического инструмента с открытым исходным кодом Velociraptor в качестве C2-соединения, поддерживаемого зашифрованным исходящим туннелем Cloudflared.
Срочное исправление
Учитывая, что, по оценкам SolarWinds, ее платформа управления запросами и тикетами WHD используется 300 000 клиентов, неудивительно, что киберпреступники используют любую возможность для ее атаки.
WHD построена как Java-приложение, работающее внутри Apache Tomcat. Уязвимости десериализации особенно опасны в этом контексте, поскольку они позволяют злоумышленнику отправить вредоносный сериализованный Java-объект в запросе, который WHD автоматически десериализует без аутентификации. В этот момент злоумышленники могут добиться удаленного выполнения кода.
«Все предыдущие версии SolarWinds Web Help Desk до 12.8.7 HF1 уязвимы к этим уязвимостям», — заявила Huntress.
Вот простой вывод: срочно исправьте приложение SolarWinds WHD. Это касается и клиентов, которые не установили исправление для CVE-2025-26399 от сентября 2025 года, также использовавшейся в недавних атаках.
Это требует обновления до WHD 2026.1, при этом следует обратить внимание на оговорки, изложенные SolarWinds в ее примечаниях к выпуску. Любые экземпляры Velociraptor, Cloudflared или Zoho Assist (также использовавшиеся в кампаниях) следует считать подозрительными, как и «тихие» установки MSI, запущенные WHD.
Huntress также рекомендует разместить WHD за VPN или межсетевым экраном и сбросить все пароли служебных или администраторских учетных записей, а также любые учетные данные, хранящиеся в самой WHD.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
