A SolarWinds sürgős biztonsági figyelmeztetést adott ki a Web Help Desk (WHD) platformját érintő kritikus távoli kódfuttatási (RCE) sebezhetőség miatt. A hiba kihasználásával hitelesítés nélküli támadók teljes ellenőrzést szerezhetnek az érintett rendszerek felett.
A sérülékenységet CVE-2025-26399 azonosítóval látták el, és a CVSS súlyossági pontszáma 9.8, ami kiemeli a fenyegetés komolyságát. A gyökérok az AjaxProxy komponensben található nem biztonságos deszerializáció, amely korábban is problémát jelentett a WHD kódbázisában.
Miért különösen veszélyes ez a sebezhetőség?
A nem biztonságos deszerializáció akkor fordul elő, amikor az alkalmazás megbízhatatlan adatokat dolgoz fel validálás nélkül. A támadók speciálisan kialakított adatcsomagokat hoznak létre, amelyek deszerializáció során tetszőleges kódot futtatnak le a célrendszeren.
A CVE-2025-26399 azért aggasztó, mert hitelesítés nélkül is kihasználható, így az internet felől bárki megpróbálhatja a támadást. Ez:
- teljes rendszerátvételt,
- érzékeny adatok ellopását,
- jogosultságok kiterjesztését,
- valamint hálózati oldalirányú mozgást tesz lehetővé.
Kapcsolódó korábbi hibák
Ez a hiba nem előzmény nélküli:
- CVE-2024-28986 – Java deszerializációs RCE sebezhetőség a WHD-ben, amely szintén kritikus besorolást kapott.
- CVE-2024-28988 – memória-kezelési hiba, amely PDF-megnyitással váltotta ki a kódfuttatást (Foxit Reader integráció).
A mostani sebezhetőség tehát ismét ugyanarra a gyökérproblémára vezethető vissza, ami azt jelzi, hogy a kódbázis biztonsági szempontból mélyebb átalakítást igényel.
Hogyan fedezték fel a hibát?
A hibát a Trend Micro Zero Day Initiative (ZDI) egyik kutatója tárta fel. A ZDI rendszeresen segíti a gyártókat a felelős sérülékenység-kezelésben, így a SolarWinds időben készíthetett javítást.
Ez ugyanakkor ismét rávilágít arra, hogy a WHD esetében nem elegendőek az eseti foltozások, hanem hosszú távú architekturális megerősítés szükséges.
Javítás és védekezési lépések
A SolarWinds kiadta a Web Help Desk 12.8.7 HF1 hotfixet, amely tartalmazza a szükséges kódmódosításokat.
A frissítés főbb elemei:
- whd-core.jar, whd-web.jar és whd-persistence.jar fájlok módosítása
- új HikariCP.jar bevezetése a biztonságosabb erőforrás-kezeléshez
Adminisztrátorok teendői:
- Állítsák le a Web Help Desk szolgáltatást.
- Készítsenek biztonsági mentést a meglévő fájlokról.
- Cseréljék le az érintett komponenseket az új verziókra.
- Indítsák újra a szolgáltatást a frissítés aktiválásához.
Azonnali patch telepítése nélkül a rendszerek teljesen kiszolgáltatottak maradnak a távoli RCE támadásoknak.
Szélesebb biztonsági következmények
Az ismétlődő deszerializációs sebezhetőségek azt mutatják, hogy a WHD kódbázisban rendszerszintű biztonsági gyengeség van. Ezért a szervezeteknek érdemes:
- kódauditokat végezni a deszerializációs folyamatokra,
- alkalmazás tűzfalat és hálózati szegmentációt bevezetni,
- RASP vagy sandbox megoldásokat alkalmazni kritikus szolgáltatásokhoz.
Mivel automatizált exploit eszközök is elérhetők, minden késlekedés drasztikusan növeli a sikeres támadások esélyét.
