# CVE-2024-28988 > [!critical] Desserialização Java no SolarWinds Web Help Desk - CVSS 9.8 e EPSS 92% > Vulnerabilidade crítica de desserialização Java não autenticada no SolarWinds Web Help Desk permite execução de código remoto com CVSS 9.8 e EPSS percentil 92 - indicando alta probabilidade de exploração ativa. O SolarWinds tem histórico de ser alvo de APTs sofisticados após o incidente da supply chain em 2020. ## Visão Geral [[cve-2024-28988|CVE-2024-28988]] é uma vulnerabilidade crítica de desserialização Java no SolarWinds Web Help Desk (WHD), solução de ITSM (IT Service Management) utilizada por organizações de médio e grande porte para gerenciar tickets de suporte de TI. Com CVSS 9.8 e EPSS no percentil 92 (alta probabilidade de exploração observada), esta CVE representa um risco significativo para organizações que mantêm o WHD exposto. A vulnerabilidade segue o padrão clássico de desserialização Java: um atacante envia um payload serializado malicioso para um endpoint da aplicação, que ao deserializar o objeto executa código arbitrário no servidor com os privilégios do processo Java do SolarWinds WHD. Este tipo de vulnerabilidade tipicamente resulta em RCE completo e é difícil de explorar sem o payload correto, mas com EPSS 92% há evidências de exploração ativa ou ferramentas públicas disponíveis. O contexto SolarWinds é importante: desde o ataque de supply chain em 2020 (SVR/APT29), a empresa e seus produtos são monitorados com atenção especial por pesquisadores e atacantes. Qualquer vulnerabilidade crítica em produtos SolarWinds deve ser tratada com urgência máxima. > [!latam] Relevância LATAM > Organizações brasileiras e latino-americanas com SolarWinds Web Help Desk na versão afetada e expostos à internet devem aplicar o hotfix HF2 da versão 12.8.3 imediatamente. O EPSS de 92% indica alta probabilidade de exploits funcionais em circulação. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Java Deserialization RCE (CWE-502) | | Componente | SolarWinds Web Help Desk | | CVSS | 9.8 CRITICAL | | EPSS | 0.0885 (percentil 92) | | Pré-requisito | Nenhum - não autenticado | | Impacto | Execução de código arbitrário no servidor | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do WHD exposto - [[t1059-007-javascript|T1059.007]] - Execução de código via desserialização Java - [[t1505-003-web-shell|T1505.003]] - Webshell pós-exploração - [[t1195-002-compromise-software-supply-chain|T1195.002]] - Contexto supply chain SolarWinds ## Detecção e Defesa **Mitigação crítica:** Aplicar SolarWinds Web Help Desk 12.8.3 Hotfix 2 imediatamente. **Detecção:** - Monitorar requisições HTTP suspeitas aos endpoints da API do WHD - Alertar sobre processos Java iniciando subprocessos inesperados - Verificar criação de arquivos .jsp/.jspx em diretórios do WHD **Mitigações adicionais:** - [[m1030-network-segmentation|M1030]] - Não expor WHD diretamente à internet - [[m1051-update-software|M1051]] - Hotfix crítico SolarWinds WHD - [[m1026-privileged-account-management|M1026]] - Least privilege para processo Java do WHD ## Referências - [SolarWinds Security Advisory HTTPS://www.solarwinds.com/trust-center/security-advisories](https://www.solarwinds.com/trust-center/security-advisories) - [CISA - SolarWinds Web Help Desk advisory](https://www.cisa.gov) - [Rapid7 - Java deserialization in SolarWinds WHD](https://www.rapid7.com/blog)