SolarWinds đã phát hành các bản cập nhật bảo mật để khắc phục nhiều lỗ hổng an ninh ảnh hưởng đến SolarWinds Web Help Desk, bao gồm bốn lỗ hổng nghiêm trọng có thể dẫn đến việc bỏ qua xác thực và thực thi mã từ xa (RCE).
Danh sách các lỗ hổng như sau:
- CVE-2025-40536 (điểm CVSS: 8.1) - Một lỗ hổng bỏ qua kiểm soát bảo mật có thể cho phép kẻ tấn công không cần xác thực truy cập vào một số chức năng bị hạn chế.
- CVE-2025-40537 (điểm CVSS: 7.5) - Một lỗ hổng thông tin đăng nhập được mã hóa cứng có thể cho phép truy cập vào các chức năng quản trị bằng tài khoản người dùng "client".
- CVE-2025-40551 (điểm CVSS: 9.8) - Một lỗ hổng giải tuần tự hóa dữ liệu không đáng tin cậy có thể dẫn đến thực thi mã từ xa, cho phép kẻ tấn công không cần xác thực chạy các lệnh trên máy chủ.
- CVE-2025-40552 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực có thể cho phép kẻ tấn công không cần xác thực thực hiện các hành động và phương thức.
- CVE-2025-40553 (điểm CVSS: 9.8) - Một lỗ hổng giải tuần tự hóa dữ liệu không đáng tin cậy có thể dẫn đến thực thi mã từ xa, cho phép kẻ tấn công không cần xác thực chạy các lệnh trên máy chủ.
- CVE-2025-40554 (điểm CVSS: 9.8) - Một lỗ hổng bỏ qua xác thực có thể cho phép kẻ tấn công gọi các hành động cụ thể trong Web Help Desk.
Trong khi Jimi Sebree từ Horizon3.ai được ghi nhận đã phát hiện và báo cáo ba lỗ hổng đầu tiên, Piotr Bazydlo của watchTowr được công nhận cho ba lỗ hổng còn lại. Tất cả các vấn đề này đã được khắc phục trong WHD 2026.1.
"Cả CVE-2025-40551 và CVE-2025-40553 đều là các lỗ hổng nghiêm trọng về giải tuần tự hóa dữ liệu không đáng tin cậy, cho phép kẻ tấn công từ xa không cần xác thực đạt được RCE trên hệ thống mục tiêu và thực thi các payload như thực thi lệnh OS tùy ý," Rapid7 cho biết.
"RCE thông qua giải tuần tự hóa là một vector cực kỳ đáng tin cậy để kẻ tấn công khai thác, và vì những lỗ hổng này có thể bị khai thác mà không cần xác thực, tác động của một trong hai lỗ hổng này là rất đáng kể."
Trong khi CVE-2025-40552 và CVE-2025-40554 đã được mô tả là các lỗ hổng bỏ qua xác thực, chúng cũng có thể được khai thác để đạt được RCE và mang lại tác động tương tự như hai lỗ hổng giải tuần tự hóa RCE khác, công ty an ninh mạng cho biết thêm.
Trong những năm gần đây, SolarWinds đã phát hành các bản vá để khắc phục một số lỗ hổng trong phần mềm Web Help Desk của mình, bao gồm CVE-2024-28986, CVE-2024-28987, CVE-2024-28988, và CVE-2025-26399. Điều đáng chú ý là CVE-2025-26399 khắc phục một bản vá bỏ qua cho CVE-2024-28988, mà đến lượt nó, lại là một bản vá bỏ qua của CVE-2024-28986.
Cuối năm 2024, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2024-28986 và CVE-2024-28987 vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dẫn chứng bằng bằng chứng về việc khai thác tích cực.
Trong một bài đăng giải thích về CVE-2025-40551, Sebree của Horizon3.ai đã mô tả đây là một lỗ hổng giải tuần tự hóa khác bắt nguồn từ chức năng AjaxProxy có thể dẫn đến thực thi mã từ xa. Để đạt được RCE, kẻ tấn công cần thực hiện chuỗi hành động sau:
- Thiết lập một phiên hợp lệ và trích xuất các giá trị khóa.
- Tạo một thành phần LoginPref.
- Đặt trạng thái của thành phần LoginPref để cho phép truy cập tải lên tệp.
- Sử dụng cầu nối JSONRPC để tạo một số đối tượng Java độc hại ngầm.
- Kích hoạt các đối tượng Java độc hại này.
Với việc các lỗ hổng trong Web Help Desk đã từng bị vũ khí hóa trong quá khứ, điều cần thiết là khách hàng phải nhanh chóng cập nhật lên phiên bản mới nhất của nền tảng help desk và IT service management.
