Hack Alerta

CVE-2025-40551: 170+ Web Help Desk expostos; exploração confirmada

Por Redação Hack Alerta Publicado em 05/02/2026 14:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2025-40551 (SolarWinds Web Help Desk) permite RCE sem autenticação; Shadowserver mapeou ~170 instâncias expostas, CISA incluiu a falha no catálogo KEV e SolarWinds lançou a versão 2026.1.

Introdução curta: uma falha crítica no SolarWinds Web Help Desk (CVE-2025-40551) foi associada a mais de 170 instalações publicamente expostas e já consta no catálogo Known Exploited Vulnerabilities da CISA.

O que se confirmou

CVE-2025-40551 é uma vulnerabilidade de desserialização insegura no componente AjaxProxy do SolarWinds Web Help Desk que permite execução remota de código sem autenticação. A falha tem CVSS 9.8 e, segundo empresas que monitoram a superfície de ataque, há exploração ativa em ambientes reais.

Escopo público identificado

A Shadowserver Foundation tem compartilhado relatórios de instâncias vulneráveis e, com base em verificações de versão, reportou aproximadamente 170 instalações do Web Help Desk acessíveis publicamente que permanecem em versões afetadas. Esse mapeamento elementar indica superfície de ataque considerável para exploração remota.

Contexto operacional e urgência

  • A CISA adicionou CVE-2025-40551 ao seu catálogo Known Exploited Vulnerabilities (KEV) em 3 de fevereiro de 2026, confirmando exploração ativa.
  • Under Binding Operational Directive 22-01, agências federais americanas receberam ordem de correção com prazo curto (remediação até 6 de fevereiro de 2026).
  • Relatos de empresas de monitoramento (BitSight) atribuem um Dynamic Vulnerability Exploit (DVE) elevado — 9.19 — reforçando a gravidade técnica e a probabilidade de exploração.

Falhas relacionadas e correção

Além de CVE-2025-40551, a SolarWinds lançou a versão 2026.1 que corrige esta e outras três falhas relacionadas: CVE-2025-40552 (bypass de autenticação), CVE-2025-40553 (outra desserialização RCE) e CVE-2025-40554 (bypass de autenticação). Todas as quatro foram classificadas com notas críticas (CVSS 9.8).

Impacto técnico

Exploração bem-sucedida permite execução de comandos com privilégios do serviço Web Help Desk, levando a comprometimento total do host, possíveis movimentos laterais e acesso a dados ou credenciais locais. A natureza sem autenticação eleva o risco de exploração automatizada em massa.

Recomendações imediatas

  • Aplicar imediatamente o update oficial SolarWinds 2026.1 nas instâncias do Web Help Desk afetadas.
  • Se a atualização não for possível de imediato, isolar as instâncias vulneráveis, bloquear acesso público e monitorar logs para sinais de exploração (comando inesperado, shells reversos, atividades de rede anômalas).
  • Verificar contas e credenciais locais usadas pelo serviço e considerar rotação de credenciais após remediação.
  • Consumir os dados do Shadowserver para identificar instâncias próprias ou de terceiros na cadeia que possam representar risco.

O que ainda não foi divulgado

O material de origem não lista vítimas identificadas além das instâncias expostas pelo mapeamento, nem fornece IoCs detalhados ou amostras de exploit. A atenção deve ser redobrada por equipes de resposta e gestão de riscos até que análises forenses públicas ou notas de fabricantes tragam mais artefatos técnicos.

Baseado em publicação original de Cyber Security News
Tags: #solarwinds #cve-2025-40551 #rce #deserialization #kev #cisa #web-help-desk #vulnerabilidade #patch
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar