Microsoft meldt aanvallen op SolarWinds Help Desk-installaties

In dit artikel:

In december hebben onbekende aanvallers meerdere SolarWinds Web Help Desk (WHD)-installaties gehackt, aldus onderzoek van Microsoft. WHD is een ticketingsysteem voor het afhandelen van meldingen door medewerkers en klanten. Welke specifieke kwetsbaarheden bij de aanvallen werden misbruikt is nog onduidelijk, maar de getroffen systemen bevatten meerdere lekken — waaronder CVE-2025-26399 (waarvoor op 17 september al een patch bestond) en CVE-2025-40551, een kritiek lek dat remote code execution door een ongeauthenticeerde aanvaller mogelijk maakt. SolarWinds waarschuwde eind januari voor meerdere kritieke zwaktes; CISA meldde op 3 februari actief misbruik van CVE-2025-40551.

Na infiltratie installeerden de aanvallers legitieme beheersoftware (Zoho ManageEngine) om op afstand controle te krijgen, zetten ze reverse SSH- en RDP-toegang op, en voerden ze inventarisaties uit van belangrijke domeingebruikers en -groepen (inclusief domain admins). Op sommige machines werd een QEMU-virtual machine geplaatst. Die activiteiten dienden om laterale beweging binnen de getroffen organisaties mogelijk te maken. Het onderzoek naar de exacte uitbuiting loopt nog.

Ondanks dat voor CVE-2025-40551 op 28 januari een update beschikbaar kwam, vond The Shadowserver Foundation gisteren meer dan 150 vanuit het internet bereikbare WHD-installaties die nog niet gepatcht waren, voornamelijk in de Verenigde Staten. Dit onderstreept het risico van ongerichte blootstelling en het gevaar van niet-geïnstalleerde veiligheidsupdates.