Kritiek lek in SolarWinds Web Help Desk actief misbruikt door hackers
Cybersecuritybedrijf Huntress waarschuwt voor actieve exploitatie van een kritieke kwetsbaarheid in SolarWinds Web Help Desk (CVE-2025-26399). Aanvallers gebruiken het lek om op afstand volledige controle over systemen te krijgen.
Onderzoekers van Huntress hebben vastgesteld dat hackers inbraken plegen via verouderde versies van de software. Zodra zij toegang hebben, installeren zij legitieme tools voor beheer op afstand, zoals Zoho Assist en de forensische tool Velociraptor, om ongemerkt in het netwerk aanwezig te blijven en verdere verkenningen uit te voeren.
De aanvalsmethode
Het lek stelt aanvallers in staat om schadelijke code uit te voeren zonder dat daar inloggegevens voor nodig zijn. Huntress zag in recente gevallen dat hackers direct na de inbraak:
- Persistentie creëerden: Via Zoho ManageEngine-agenten hielden zij toegang tot de besmette omgeving.
- Verkenning uitvoerden: Aanvallers zochten via Active Directory naar andere computers in het domein voor verdere verspreiding.
- C2-kanalen opzetten: Door gebruik te maken van Cloudflare-tunnels en Velociraptor konden zij op afstand commando's geven aan de geïnfecteerde systemen.
Dringend advies: Update direct
De kwetsbaarheid treft alle versies van SolarWinds Web Help Desk ouder dan 12.8.7 HF1. SolarWinds heeft inmiddels een beveiligingsupdate beschikbaar gesteld.
Beheerders krijgen het dringende advies om hun huidige versie te controleren (te vinden in C:\Program Files\WebHelpDesk\version.txt) en de beschikbare hotfix onmiddellijk te installeren om misbruik te voorkomen. Microsoft en CISA hebben inmiddels ook gewaarschuwd voor de ernst van de situatie.
