Hack Alerta

Campanha atinge Web Help Desk do SolarWinds com ferramentas legítimas

Por Redação Hack Alerta Publicado em 12/02/2026 10:02 Cyber ataques Tempo de leitura: 3 min

Relatório da Huntress descreve campanha que explora falhas no SolarWinds Web Help Desk (CVE-2025-40551 e CVE-2025-26399) e instala ferramentas legítimas (Velociraptor 0.73.4, Zoho Assist) para funcionamento como C2; SolarWinds recomenda atualização para WHD 2026.1.

Pesquisadores da Huntress relataram uma campanha em curso que explora o Web Help Desk (WHD) da SolarWinds, instalando ferramentas legítimas — como Zoho ManageEngine Assist e Velociraptor — para transformar utilitários de defesa em comunicação e persistência dos invasores.

Descrição técnica

Conforme apurado pelo Canaltech com base no relatório da Huntress, a cadeia de ataque começa pela exploração de duas vulnerabilidades criticamente classificadas no WHD (CVE-2025-40551 e CVE-2025-26399), que permitem execução remota de código sem autenticação. Após o acesso, os atacantes implantam instaladores MSI que colocam o Velociraptor e o Assist nas máquinas comprometidas.

Vetor e táticas observadas

  • Ferramentas legítimas abusadas: o Velociraptor foi usado como servidor C2; o Zoho ManageEngine Assist, programa de suporte remoto, figurou entre os componentes instalados.
  • Versões vulneráveis: a Huntress identificou a presença do Velociraptor desatualizado, versão 0.73.4, com capacidade de escalada de privilégios.
  • Obfuscação de rastros: comunicação por meio de Cloudflare Workers para dificultar a detecção e o bloqueio por redes defensivas tradicionais.

Consequências operacionais

Depois da instalação, os atacantes desativam controles de segurança locais, incluindo o Windows Defender, e alteram chaves de registro para evitar bloqueios por firewalls. O uso de ferramentas legítimas complica a identificação via assinaturas tradicionais, pois tráfego e processos podem parecer confiáveis à primeira vista.

Recomendações práticas

O Canaltech relata medidas imediatas divulgadas por pesquisadores e pela própria SolarWinds:

  • Atualizar o SolarWinds Web Help Desk para a versão 2026.1 ou superior o quanto antes.
  • Remover acesso público às interfaces administrativas do WHD e isolar instâncias de gerenciamento em redes internas ou via VPN com autenticação forte.
  • Renovar todas as credenciais associadas ao aplicativo e revisar contas de serviço com privilégios elevados.
  • Monitorar sinais de uso indevido do Velociraptor e conexões atípicas via Cloudflare Workers; bloquear tráfego proveniente de IOCs identificados pela Huntress.

Limites das informações publicadas

O relato público não inclui uma lista completa de IOCs, tampouco detalha se houve roubo de dados sensíveis ou se a campanha atingiu clientes específicos em regiões determinadas — informações que devem surgir conforme investigações forenses se aprofundem.

Implicações para times de defesa (CISO/IRT)

Essa campanha reforça um padrão crescente: operações que convertem ferramentas de resposta e suporte em canais de comando e controle. Para times de segurança, a lição é clara — políticas de hardening devem incluir inventário de ferramentas de gestão, restrições de execução por origem e verificações de integridade das versões instaladas. Alerta-se também para a necessidade de regras comportamentais em EDR/RMM para detectar padrões atípicos de Velociraptor/ManageEngine.

Fonte

Canaltech (reportagem por Lillian Sibila Dala Costa, com base em análise da Huntress).

Baseado em publicação original de Canaltech
Tags: #solarwinds #whd #vulnerabilidade #velociraptor #manageengine #ciso #incidente #mitigacao #forense
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar