CVE-2025-40551

SolarWinds Web Help Desk

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-02-03

Официальное описание

SolarWinds Web Help Desk contains a deserialization of untrusted data vulnerability that could lead to remote code execution, which would allow an attacker to run commands on the host machine. This could be exploited without authentication.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-40551 в SolarWinds Web Help Desk (WHD) связана с небезопасной десериализацией недоверенных данных.

  • Механизм: Приложение принимает сериализованные объекты от пользователя и восстанавливает их в памяти без должной проверки и валидации.
  • Вектор атаки: Злоумышленник может сформировать специальный вредоносный сериализованный объект и отправить его на сервер. При попытке приложения десериализовать этот объект происходит выполнение заложенных в него инструкций.
  • Критичность: Уязвимость не требует аутентификации. Успешная эксплуатация приводит к удаленному выполнению кода (RCE) с правами учетной записи, от имени которой запущен сервис WHD, что может привести к полной компрометации хоста.

Как исправить

Единственным надежным способом устранения уязвимости является установка официального исправления (Hotfix) или обновление до безопасной версии от вендора.

  1. Создайте полную резервную копию базы данных SolarWinds WHD.
  2. Создайте снапшот виртуальной машины или резервную копию директории установки приложения.
  3. Авторизуйтесь на портале SolarWinds Customer Portal и скачайте актуальный Hotfix, закрывающий CVE-2025-40551.
  4. Остановите службу SolarWinds Web Help Desk.

Для Windows:

Stop-Service -Name "WebHelpDesk" -Force

Для Linux:

systemctl stop webhelpdesk
  1. Установите загруженное обновление, следуя инструкциям из файла Readme.txt, поставляемого в архиве с Hotfix (обычно это замена уязвимых .jar файлов в директории lib или запуск исполняемого патча).
  2. Запустите службу SolarWinds Web Help Desk.

Для Windows:

Start-Service -Name "WebHelpDesk"

Для Linux:

systemctl start webhelpdesk
  1. Проверьте логи приложения на наличие ошибок и убедитесь, что портал WHD доступен и функционирует корректно.

Временные меры

Если немедленная установка патча невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации:

  • Сетевая изоляция: Ограничьте доступ к веб-интерфейсу WHD. Убедитесь, что портал не торчит в открытый интернет. Доступ должен осуществляться только из доверенных внутренних сетей или через VPN.
  • Настройка Firewall: Настройте правила межсетевого экрана так, чтобы к порталу могли обращаться только IP-адреса легитимных администраторов и пользователей.
  • Web Application Firewall (WAF): Если WHD находится за WAF, активируйте сигнатуры для блокировки атак типа Java Deserialization. Настройте фильтрацию трафика, содержащего магические байты сериализованных объектов Java (например, ac ed 00 05 в Hex или rO0AB в Base64) в HTTP-запросах.
  • Мониторинг и EDR: Настройте правила в вашей SIEM/EDR системе на обнаружение аномальной активности процесса Java (например, java.exe или javaw.exe), связанного с WHD. Обращайте особое внимание на запуск подозрительных дочерних процессов:

Для Windows (поиск в логах запуска процессов):

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4688} | Where-Object {$_.Message -match "cmd.exe" -or $_.Message -match "powershell.exe"}

Для Linux (мониторинг через auditd):

ausearch -k exec -p <PID_процесса_Java>
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей