Компания SolarWinds выпустила срочные обновления безопасности для своего программного обеспечения Web Help Desk (WHD), направленные на устранение серьезных брешей в защите. В общей сложности обновление закрывает несколько недостатков, включая четыре критические уязвимости, которые позволяют злоумышленникам осуществлять обход аутентификации и удаленное выполнение кода (RCE). Единственным способом устранения всех выявленных проблем является установка версии WHD 2026.1, в которой разработчики полностью закрыли обнаруженные векторы атак.
Среди наиболее опасных проблем выделяются две уязвимости десериализации ненадежных данных, получившие максимальную оценку серьезности по шкале CVSS — 9.8 балла. Первая из них, CVE-2025-40551, позволяет неаутентифицированному злоумышленнику запускать произвольные команды на хост-машине. Согласно техническим деталям, предоставленным исследователями, эта проблема проистекает из функциональности AjaxProxy. Вторая аналогичная уязвимость, CVE-2025-40553, также классифицируется как RCE через десериализацию и дает атакующим возможность выполнять команды без необходимости входа в систему.
Помимо проблем с десериализацией, специалисты выявили две критические уязвимости обхода аутентификации, также оцененные в 9.8 балла по шкале CVSS. Уязвимость CVE-2025-40552 позволяет неаутентифицированному пользователю выполнять определенные действия и методы. Вторая брешь, CVE-2025-40554, дает возможность вызывать специфические действия внутри Web Help Desk. Эксперты предупреждают, что обе эти ошибки могут быть использованы для достижения тех же целей, что и десериализация, фактически предоставляя злоумышленникам контроль над системой.
В обновлении также устранена уязвимость высокой степени тяжести CVE-2025-40537 с оценкой 7.5 балла по CVSS. Она связана с наличием жестко закодированных учетных данных. Использование этой бреши позволяет получить доступ к административным функциям, используя учетную запись пользователя «client». Дополнительно был исправлен не пронумерованный недостаток обхода контроля безопасности, который позволял неаутентифицированным злоумышленникам получать доступ к определенным ограниченным функциональным возможностям.
Обнаружение и описание всех шести уязвимостей стало результатом работы двух независимых исследователей. Джими Сибри (Jimi Sebree) из компании приписывается обнаружение первых трех уязвимостей, включая проблему с AjaxProxy. Петр Базыдло (Piotr Bazydlo) из организации watchTowr был отмечен за выявление трех оставшихся недостатков безопасности, что позволило сформировать полный пакет исправлений для новой версии ПО.
Аналитики из Rapid7 провели детальный разбор угроз, отметив, что CVE-2025-40551 и CVE-2025-40553 являются высоконадежными векторами для хакеров, так как они эксплуатируются без какой-либо аутентификации. Удаленное выполнение кода через десериализацию позволяет загружать полезные нагрузки, такие как произвольные команды операционной системы. Более того, специалисты Rapid7 подчеркнули, что уязвимости обхода аутентификации (CVE-2025-40552 и CVE-2025-40554) фактически имеют то же влияние, что и RCE, поскольку их можно использовать для эскалации атак и выполнения кода.
Ситуация усугубляется недавней историей исправлений в продуктах SolarWinds, демонстрирующей цепочку «обходов патчей». Новое обновление разрывает этот цикл, где CVE-2025-26399 закрывает обход исправления для CVE-2024-28988, который, в свою очередь, был попыткой исправить обход для CVE-2024-28986. Эта последовательность указывает на настойчивые попытки злоумышленников найти лазейки в защитных механизмах программного обеспечения Web Help Desk.
Активность хакеров в отношении продуктов компании подтверждается данными Агентства по кибербезопасности и защите инфраструктуры США (CISA). В конце 2024 года агентство добавило уязвимости CVE-2024-28986 и CVE-2024-28987 в свой каталог известных эксплуатируемых уязвимостей (KEV). Это решение было продиктовано наличием доказательств активной эксплуатации данных брешей в реальных условиях, что делает установку версии 2026.1 критически важной задачей для администраторов безопасности.
Изображение носит иллюстративный характер
Среди наиболее опасных проблем выделяются две уязвимости десериализации ненадежных данных, получившие максимальную оценку серьезности по шкале CVSS — 9.8 балла. Первая из них, CVE-2025-40551, позволяет неаутентифицированному злоумышленнику запускать произвольные команды на хост-машине. Согласно техническим деталям, предоставленным исследователями, эта проблема проистекает из функциональности AjaxProxy. Вторая аналогичная уязвимость, CVE-2025-40553, также классифицируется как RCE через десериализацию и дает атакующим возможность выполнять команды без необходимости входа в систему.
Помимо проблем с десериализацией, специалисты выявили две критические уязвимости обхода аутентификации, также оцененные в 9.8 балла по шкале CVSS. Уязвимость CVE-2025-40552 позволяет неаутентифицированному пользователю выполнять определенные действия и методы. Вторая брешь, CVE-2025-40554, дает возможность вызывать специфические действия внутри Web Help Desk. Эксперты предупреждают, что обе эти ошибки могут быть использованы для достижения тех же целей, что и десериализация, фактически предоставляя злоумышленникам контроль над системой.
В обновлении также устранена уязвимость высокой степени тяжести CVE-2025-40537 с оценкой 7.5 балла по CVSS. Она связана с наличием жестко закодированных учетных данных. Использование этой бреши позволяет получить доступ к административным функциям, используя учетную запись пользователя «client». Дополнительно был исправлен не пронумерованный недостаток обхода контроля безопасности, который позволял неаутентифицированным злоумышленникам получать доступ к определенным ограниченным функциональным возможностям.
Обнаружение и описание всех шести уязвимостей стало результатом работы двух независимых исследователей. Джими Сибри (Jimi Sebree) из компании приписывается обнаружение первых трех уязвимостей, включая проблему с AjaxProxy. Петр Базыдло (Piotr Bazydlo) из организации watchTowr был отмечен за выявление трех оставшихся недостатков безопасности, что позволило сформировать полный пакет исправлений для новой версии ПО.
Аналитики из Rapid7 провели детальный разбор угроз, отметив, что CVE-2025-40551 и CVE-2025-40553 являются высоконадежными векторами для хакеров, так как они эксплуатируются без какой-либо аутентификации. Удаленное выполнение кода через десериализацию позволяет загружать полезные нагрузки, такие как произвольные команды операционной системы. Более того, специалисты Rapid7 подчеркнули, что уязвимости обхода аутентификации (CVE-2025-40552 и CVE-2025-40554) фактически имеют то же влияние, что и RCE, поскольку их можно использовать для эскалации атак и выполнения кода.
Ситуация усугубляется недавней историей исправлений в продуктах SolarWinds, демонстрирующей цепочку «обходов патчей». Новое обновление разрывает этот цикл, где CVE-2025-26399 закрывает обход исправления для CVE-2024-28988, который, в свою очередь, был попыткой исправить обход для CVE-2024-28986. Эта последовательность указывает на настойчивые попытки злоумышленников найти лазейки в защитных механизмах программного обеспечения Web Help Desk.
Активность хакеров в отношении продуктов компании подтверждается данными Агентства по кибербезопасности и защите инфраструктуры США (CISA). В конце 2024 года агентство добавило уязвимости CVE-2024-28986 и CVE-2024-28987 в свой каталог известных эксплуатируемых уязвимостей (KEV). Это решение было продиктовано наличием доказательств активной эксплуатации данных брешей в реальных условиях, что делает установку версии 2026.1 критически важной задачей для администраторов безопасности.
