Компания SolarWinds снова обнаружила критические уязвимости (включая RCE) в своем ПО Web Help Desk (WHD), выпустив срочные обновления до версии 2026.1. Эксперты призывают немедленно патчить системы из-за высокого риска эксплуатации и каскадных последствий для бизнеса.
Компания SolarWinds вновь сообщает об обнаружении уязвимостей безопасности в одном из своих широко используемых продуктов. Компания выпустила обновления для устранения шести критических уязвимостей, связанных с обходом аутентификации и удаленным выполнением команд, в своем ИТ-программном обеспечении Web Help Desk (WHD).
Эти недостатки могут позволить злоумышленникам обойти аутентификацию, выполнить удаленный код (RCE) и получить доступ к определенным функциям, которые должны быть защищены. Из шести уязвимостей четыре оценены как «критические» (9,8 из 10 по шкале серьезности CVE), а остальные — как «высокие» (серьезность 7,5 и 8,1).
Поскольку WHD активно эксплуатировался в прошлом, администраторам рекомендуется немедленно установить исправления на уязвимых серверах, обновившись до Web Help Desk 2026.1.
«Мы уже знаем, что происходит, когда компрометируют SolarWinds», — заявил Дэвид Шипли из Beauceron Security. «Существует огромный каскадный риск. Критически важно, чтобы проблемы были исправлены, обновлены и решены как можно быстрее».
«RCE»: Три буквы, которые ни один руководитель службы безопасности не хочет слышать
SolarWinds заявляет, что имеет более 300 000 клиентов по всему миру, включая значительную часть списка Fortune 500, а также крупные государственные и оборонные ведомства. Продукт WHD компании пользуется популярностью среди этих организаций.
Уязвимости были обнаружены независимыми исследователями из watchTowr и Horizon3.ai. К ним относятся:
- Уязвимости удаленного выполнения кода и десериализации данных CVE-2025-40551 (критическая) и CVE-2025-40553 (критическая);
- Недостатки в аутентификации и обходе безопасности CVE-2025-40552 (критическая), CVE-2025-40554 (критическая), CVE-2025-40536 (высокая) и CVE-2025-40537 (высокая).
CVE-2025-40551 и CVE-2025-40553 делают WHD уязвимым для десериализации недоверенных данных, что может позволить злоумышленникам выполнять команды на хост-машине. Эта уязвимость может быть использована без аутентификации.
Две другие критические уязвимости, CVE-2025-40552 и CVE-2025-40554, представляют собой обход аутентификации, который при эксплуатации может позволить злоумышленникам вызывать определенные действия в Web Help Desk, которые должны были быть автоматически защищены аутентификацией.
«Это три буквы, которые вы никогда не хотите слышать: “Меня взломали через RCE”», — сказал Шипли из Beauceron, отметив, что десериализация данных может раскрыть корпоративные секреты. «Это самое худшее. Вы действительно, действительно, действительно не хотите RCE».
Четыре критические ошибки, как правило, очень надежны для эксплуатации из-за их недостатков в логике десериализации и аутентификации, отметил Райан Эммонс, исследователь безопасности из Rapid7. «Для злоумышленников это хорошая новость, поскольку это означает избежание большого объема работ по разработке специфических эксплойтов, которые требуются для других, менее надежных классов уязвимостей».
Вместо этого злоумышленники могут использовать стандартизированный вредоносный полезный груз против множества уязвимых целей, отметил Эммонс. «Если эксплуатация прошла успешно, злоумышленники получают полный контроль над программным обеспечением и всей хранящейся в нем информацией, а также потенциальную возможность горизонтального перемещения в другие системы».
Тем временем уязвимость высокого уровня серьезности CVE-2025-40536 позволит злоумышленникам обойти меры безопасности и получить доступ к определенным функциям, доступ к которым должен быть ограничен только для прошедших аутентификацию пользователей. Наконец, CVE-2025-40537 — это уязвимость, связанная с жестко закодированными учетными данными, которая «при определенных обстоятельствах» может предоставить доступ к административным функциям.
Как должны реагировать предприятия
SolarWinds предоставляет подробные инструкции по обновлению уязвимых серверов до Web Help Desk 2026.1. Аналитики подчеркивают, что команды безопасности должны сохранять бдительность в этом вопросе.
Эммонс посоветовал, что самое важное, что защитники могут сделать прямо сейчас, — это экстренно обновиться до последней версии и исследовать любую аномальную активность на серверах, которые могли стать целями.
«Для разработки эксплуатационных кодов для этих ошибок, вероятно, потребуется немного времени, поэтому время играет решающую роль для достижения наилучшего результата», — подчеркнул он.
Проблемы SolarWinds продолжаются
Эти уязвимости отражают досадную закономерность для SolarWinds, чей WHD неоднократно подвергался атакам. Совсем недавно, в сентябре, компания устранила второй обход исправления (CVE-2025-26399) для уязвимости RCE в WHD, о которой Агентство по кибербезопасности и защите инфраструктуры (CISA) предупреждало как об активно эксплуатируемой еще год назад. Также в 2024 году федеральное агентство указало на ошибку с жестко закодированными учетными данными в WHD.
«Это как: “опять, что ли?”», — сказал Шипли. «У всех возникает эта инстинктивная, эмоциональная реакция, основанная на том, что произошло с ними пять лет назад».
Крупные взломы имеют «радиус поражения бренда, срок жизни бренда», отметил он, и это может вернуть «прошлые травмы» ИТ-менеджерам. SolarWinds хорошо известна злоумышленникам, которые понимают, что это бренд, который может окупиться.
«Всё дело в совокупном влиянии, в стороне ROI», — сказал он. Злоумышленники понимают, что у них узкое окно для атаки, и они хотят максимизировать свои шансы на эксфильтрацию данных или получение выкупа. А если это государственные субъекты, цель — создать «максимальный хаос».
«Это извращенная форма узнаваемости бренда, которой никогда не пожелаешь», — сказал Шипли.
Хотя этот инцидент — плохая новость, хорошая новость в том, что это не та же самая ошибка, отметил он. Кроме того, с точки зрения RCE, SolarWinds пострадала не так сильно, как Cisco и Fortinet, последняя из которых подверглась критике за «тихое» исправление после раскрытия второй уязвимости нулевого дня в том же оборудовании.
Поставщики должны добраться до первопричины уязвимостей в логике программирования, а не просто устранять симптомы, сказал он, указав: «Они латают дыру, но не выясняют, почему дыры появляются снова».
В конечном итоге, по его словам, «это неустойчиво плохо для ИТ-менеджеров. Мы приближаемся к точке перелома». В США кибербезопасность должна стать регуляторным приоритетом; хотя это было областью внимания для предыдущей администрации, при нынешнем режиме произошел «полный разворот».
«Единственный выход из этой передряги — иметь лучший код», — отметил Шипли. Но «теперь мы обречены на устаревший код, [плюс все, что добавляет к этому коктейлю]. Скоро прорвет дамбы. У нас будет наш “Код Катрина”», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb