Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

SolarWinds Web Help Desk Exploited for RCE in Multi-Stage Attacks on Exposed Servers

1 minute de lecture

Mis à jour :

Exploitation de SolarWinds Web Help Desk pour des Attaques Multi-Étapes

Des acteurs malveillants ont exploité des instances exposées de SolarWinds Web Help Desk (WHD) pour obtenir un accès initial et se déplacer latéralement au sein des réseaux d’organisations. Cette intrusion multi-étapes a abouti à une exécution de code à distance (RCE).

Points Clés :

  • L’exploitation initiale de WHD permet l’exécution de commandes arbitraires dans le contexte de l’application.
  • Les attaquants utilisent des techniques de “living off the land”, employant des outils légitimes pour télécharger et exécuter des charges utiles via le service BITS (Background Intelligent Transfer Service).
  • Un logiciel de gestion et de surveillance à distance (RMM) légitime, tel que Zoho ManageEngine, est utilisé pour assurer un contrôle à distance persistant.
  • Les actions ultérieures incluent l’énumération des utilisateurs et groupes sensibles du domaine, l’établissement de persistance via SSH et RDP, et le vol d’identifiants par déchargement de la mémoire LSASS.
  • Des attaques de type DCSync ont été observées, simulant un contrôleur de domaine pour obtenir des informations sensibles d’Active Directory.

Vulnérabilités Potentielles :

Il n’est pas clairement établi si les vulnérabilités exploitées sont celles récemment divulguées ou une faille précédemment corrigée. Les CVE mentionnées sont :

  • CVE-2025-40551 (Score CVSS : 9.8) : Vulnérabilité de désérialisation de données non fiables menant à l’exécution de code à distance.
  • CVE-2025-40536 (Score CVSS : 8.1) : Vulnérabilité de contournement de contrôle de sécurité permettant un accès à des fonctionnalités restreintes.
  • CVE-2025-26399 (Score CVSS : 9.8) : Vulnérabilité de désérialisation de données non fiables menant à l’exécution de code à distance.

La CVE-2025-40551 a été ajoutée au catalogue des vulnérabilités activement exploitées par CISA.

Recommandations :

  • Maintenir les instances de Web Help Desk à jour.
  • Identifier et supprimer tout outil RMM non autorisé.
  • Rotation des comptes de service et d’administration.
  • Isoler les machines compromises pour limiter la propagation.
  • Mettre en œuvre une défense en profondeur, incluant des correctifs rapides des services exposés sur Internet et une détection comportementale sur les couches d’identité, de point de terminaison et de réseau.

Source

Vous pourriez aimer