Hackers exploit SolarWinds WHD flaws to deploy DFIR tool in attacks
Mis à jour :
Exploitation des vulnérabilités de SolarWinds Web Help Desk pour l’installation d’outils malveillants
Des acteurs malveillants exploitent des failles de sécurité dans le produit SolarWinds Web Help Desk (WHD) pour déployer des outils légitimes à des fins nuisibles. Ces outils incluent le logiciel de surveillance et de gestion à distance Zoho ManageEngine, le système de réponse aux incidents Velociraptor, et des tunnels Cloudflare pour assurer la persistance.
Cette campagne active, observée depuis janvier, cible au moins trois organisations. Les attaquants ont réussi à obtenir un accès initial grâce à des vulnérabilités critiques de WHD qui permettent l’exécution de code à distance sans authentification.
Points clés :
- Exploitation de failles critiques dans SolarWinds Web Help Desk (WHD).
- Utilisation d’outils légitimes (Zoho ManageEngine, Velociraptor) par les attaquants.
- Mise en place de tunnels Cloudflare pour la persistance et la communication C2.
- Désactivation de Windows Defender et du Pare-feu pour faciliter les actions malveillantes.
- Utilisation d’une version obsolète de Velociraptor présentant une vulnérabilité d’escalade de privilèges.
Vulnérabilités :
- CVE-2025-40551 : Faute critique permettant l’exécution de code à distance (RCE) sans authentification. Signalée par CISA comme activement exploitée.
- CVE-2025-26399 : Faute critique permettant l’exécution de code à distance (RCE) sans authentification.
- Vulnérabilité d’escalade de privilèges dans une version obsolète de Velociraptor (0.73.4).
Recommandations :
- Mettre à jour SolarWinds Web Help Desk vers la version 2026.1 ou une version ultérieure.
- Supprimer l’accès public à Internet des interfaces d’administration de SolarWinds WHD.
- Réinitialiser tous les identifiants associés au produit.
- Surveiller l’activité des outils Zoho Assist, Velociraptor et Cloudflared, ainsi que les installations silencieuses de MSI et l’exécution PowerShell encodée.