cve-2024-28986 - RunkIntel

# CVE-2024-28986 > [!critical] RCE crítico no SolarWinds Web Help Desk via deserialização Java > Vulnerabilidade de execução remota de código sem autenticação no SolarWinds Web Help Desk. Com CVSS 9.8 e EPSS no percentil 99, representa risco extremo para organizações com esta plataforma de ITSM exposta à internet. ## Visão Geral A [[cve-2024-28986|CVE-2024-28986]] é uma vulnerabilidade crítica de deserialização Java no SolarWinds Web Help Desk (WHD), plataforma de gerenciamento de serviços de TI utilizada por organizações de médio e grande porte. A falha permite que um atacante remoto não autenticado execute código arbitrário no servidor, obtendo controle total do sistema. A vulnerabilidade ganhou notoriedade quando a CISA emitiu alertas de exploração ativa, adicionando-a posteriormente ao catálogo KEV. O contexto SolarWinds é especialmente sensível dado o histórico da empresa com o ataque [[solarwinds-sunburst-2020|SolarWinds SUNBURST]], que tornou a marca sinônimo de risco de supply chain. Com EPSS no percentil 99, a probabilidade de exploração é extremamente alta, tornando esta CVE prioridade de patch imediato para qualquer organização que utilize o SolarWinds Web Help Desk - especialmente em setores de governo e infraestrutura crítica, comuns no Brasil e LATAM. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 9.8 (Critical) | | **Vetor** | AV:N/AC:L/PR:N/UI:N | | **Produto** | SolarWinds Web Help Desk | | **Versões afetadas** | < 12.8.3 HF2 | | **Patch** | 12.8.3 HF2 (21 ago 2024) | | **Mecanismo** | Deserialização Java insegura | | **EPSS Percentil** | 99° | ## Impacto e Kill Chain A falha explora o mecanismo de deserialização Java do WHD, onde objetos serializados maliciosos enviados via HTTP resultam em execução de código no contexto do servidor de aplicação. **TTPs relacionados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-007-javascript|T1059]] · [[t1078-valid-accounts|T1078]] · [[t1005-data-from-local-system|T1005]] ## Detecção e Defesa **Mitigação imediata:** - Aplicar patch 12.8.3 HF2 imediatamente - Restringir acesso ao WHD à rede interna apenas - Monitorar execuções de processo a partir do servidor WHD **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1042-disable-or-remove-feature-or-program|M1042]] > [!latam] Relevância LATAM > O SolarWinds WHD é utilizado por órgãos governamentais e empresas de TI no Brasil para gerenciamento de chamados. A exposição desta plataforma à internet sem patch aplicado representa risco direto de comprometimento de infraestrutura crítica de suporte. ## Referências - [SolarWinds Advisory](https://www.solarwinds.com/trust-center/security-advisories/CVE-2024-28986) - [CISA - SolarWinds WHD RCE](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a) - [BleepingComputer Coverage](https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bug-in-all-web-help-desk-versions/)