# CVE-2025-0289 > [!high] RCE no SolarWinds Web Help Desk - Explorado por Storm-0844 > Vulnerabilidade de execução remota de código no SolarWinds Web Help Desk permite que atacantes não autenticados executem comandos no servidor, explorada pelo grupo Storm-0844 em campanhas contra infraestrutura corporativa. ## Visão Geral A [[cve-2025-0289|CVE-2025-0289]] é uma vulnerabilidade crítica no **SolarWinds Web Help Desk**, plataforma de gerenciamento de tickets e ITSM amplamente adotada em ambientes corporativos e governamentais. A falha permite execução remota de código sem autenticação, com CVSS 8.1 pela complexidade de ataque moderada. O SolarWinds permanece um alvo de alto valor para atores de ameaça após o incidente da cadeia de suprimentos de 2020 (SolarWinds Orion/SUNBURST), com grupos de espionagem monitorando continuamente novos vetores de ataque na plataforma. O grupo [[storm-0844|Storm-0844]] foi identificado explorando esta vulnerabilidade em campanhas de acesso inicial. Organizações que utilizam SolarWinds para gerenciamento de infraestrutura são alvos especialmente atraentes pela visibilidade que a plataforma oferece sobre toda a rede. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE sem autenticação | | Componente | SolarWinds Web Help Desk - endpoint de API | | Vetor | Rede - sem autenticação necessária | | Impacto | Execução de código no servidor ITSM | | Patch disponível | SolarWinds WHD 12.8.3 HF2+ | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do portal Web Help Desk | | [[t1078-valid-accounts\|T1078]] | Acesso a credenciais armazenadas no ITSM | | [[t1213-data-from-information-repositories\|T1213]] | Exfiltração de dados de tickets e configurações | | [[t1505-003-web-shell\|T1505.003]] | Web shell implantado pós-RCE | ## Detecção e Defesa **Mitigações:** - Atualizar SolarWinds Web Help Desk para versão 12.8.3 HF2 ou superior - [[m1051-update-software\|M1051]] - Aplicar hotfix da SolarWinds imediatamente - [[m1030-network-segmentation\|M1030]] - Restringir acesso ao portal Web Help Desk por VPN/IP - Auditar dados sensíveis armazenados nos tickets do sistema ITSM - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Desabilitar endpoints não utilizados > [!latam] Relevância para Brasil e LATAM > SolarWinds é utilizado por organizações financeiras, de energia e governo no Brasil para gerenciamento de infraestrutura. O comprometimento de um sistema ITSM pode expor credenciais de sistemas críticos armazenadas em tickets, dados de configuração de rede e informações sobre vulnerabilidades conhecidas da organização. A reputação da SolarWinds como alvo APT torna patches urgentes nesta plataforma prioridade máxima. ## Referências - [SolarWinds Security Advisory - CVE-2025-0289](https://www.solarwinds.com/trust-center/security-advisories) - [NVD - CVE-2025-0289](https://nvd.nist.gov/vuln/detail/CVE-2025-0289)