# CVE-2025-26399 - SolarWinds Web Help Desk RCE via Desserialização > [!danger] CISA KEV - Prazo de Remediação: 2026-03-12 (VENCIDO) > Esta vulnerabilidade está no **CISA Known Exploited Vulnerabilities Catalog** (adicionada em 2026-03-09). Agências federais dos EUA deviam remediar até **2026-03-12**. O prazo já está **vencido**. Atualizar para **WHD 12.8.7 HF1** ou **2026.1** imediatamente. Exploração ativa confirmada pelo grupo **Warlock ransomware**. > CVSS: 9.8 (Critico) · EPSS: 29,0% · Vendor: SolarWinds · Patch: Sim · CISA KEV: Sim (2026-03-09) ## Visão Geral **CVE-2025-26399** é uma vulnerabilidade crítica de **execução remota de código** (RCE) no **[[_solarwinds|SolarWinds]] Web Help Desk** (WHD), causada por **desserializacao insegura de dados nao confiaveis** no componente AjaxProxy (CWE-502). A falha permite que um atacante nao autenticado execute código arbitrario no servidor alvo. Esta vulnerabilidade é um **bypass de patch** da [[cve-2024-28988|CVE-2024-28988]], que por sua vez era um bypass da [[cve-2024-28986|CVE-2024-28986]] - configurando uma cadeia persistente de falhas no mesmo componente de desserializacao do WHD. Os patches anteriores tentavam sanitizar campos "params" e "fixups" em payloads JSON apenas quando a URI continha a string "/ajax/". Ao alterar o caminho da requisicao para remover "/ajax/", um atacante contorna completamente essa sanitizacao. A vulnerabilidade foi divulgada em **setembro de 2025** e adicionada ao **CISA KEV em 2026-03-09** após confirmacao de exploração ativa por múltiplos atores, incluindo o grupo [[warlock-ransomware|Warlock Ransomware]]. O contexto de segurança da [[_solarwinds|SolarWinds]] é agravado pelo historico da empresa: em 2020, o ataque de cadeia de suprimentos [[s0559-sunburst|SUNBURST]] comprometeu milhares de organizacoes, incluindo agencias governamentais dos EUA, tornando qualquer vulnerabilidade critica no portfolio SolarWinds um alvo de alto interesse para atores sofisticados. **Descoberta por:** Pesquisador anonimo via [[sources|Trend Micro]] Zero Day Initiative (ZDI). Classificada como CWE-502 (Desserializacao de Dados Nao Confiaveis). A serie de bypasses de patch - [[cve-2024-28986|CVE-2024-28986]] → [[cve-2024-28988|CVE-2024-28988]] → CVE-2025-26399 - indica falha sistemica na correcao do mecanismo de desserializacao do componente AjaxProxy, nao apenas remendos superficiais. **Pontuacao de risco:** - CVSS v3.1: **9.8** (Critico) - vetor: `AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` - EPSS: **29,0%** de probabilidade de exploração nos proximos 30 dias (atualizado em 2026-03) - CISA KEV: **adicionado em 2026-03-09** - prazo de remediacao federal: **2026-03-12** (VENCIDO) - Exploit: **exploração ativa confirmada** - utilizado pelo grupo Warlock ransomware como vetor de acesso inicial ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Scan por instâncias WHD<br/>expostas na internet"] --> B["💥 Exploit CVE-2025-26399<br/>POST ao AjaxProxy sem /ajax/<br/>bypass da sanitização"] B --> C["🔑 RCE como SYSTEM<br/>Gadget chain Java<br/>execução privilegiada"] C --> D["🛡️ Persistência<br/>Deploy RMM Zoho +<br/>VM QEMU com backdoor SSH"] D --> E["🛡️ C2 Tunnel<br/>Cloudflare Tunnel<br/>para comando e controle"] E --> F["🔑 Credential Harvesting<br/>DLL Sideloading + LSASS<br/>dump + DCSync"] F --> G["📤 Ransomware<br/>Exfiltração de dados<br/>e deploy de ransomware"] ``` ## Detalhes Técnicos **Componente vulnerável:** `AjaxProxy` - servlet Java presente em todas as instalacoes do [[_solarwinds|SolarWinds]] Web Help Desk **Mecanismo de exploração:** O componente `AjaxProxy` deserializa dados JSON fornecidos pelo usuario sem válidação adequada. Os patches anteriores ([[cve-2024-28986|CVE-2024-28986]] e [[cve-2024-28988|CVE-2024-28988]]) implementaram sanitizacao condicional: campos `params` e `fixups` nos payloads JSON eram higienizados **apenas quando a URI continha a string `/ajax/`**. O bypass consiste em enviar requisicoes ao mesmo endpoint omitindo `/ajax/` do caminho - a lógica de sanitizacao nao é acionada, e o payload malicioso é desserializado diretamente. ``` POST /AjaxProxy?... HTTP/1.1 ← sem /ajax/ na URI = bypass da sanitizacao Host: <WHD_SERVER> Content-Type: application/json {"params": "<GADGET_CHAIN>", "fixups": [...]} ``` O exploit aciona uma **gadget chain Java** que resulta em execução de código com privilegios `SYSTEM` no Windows, o nivel máximo de privilegio do sistema operacional. **Técnicas MITRE ATT&CK:** | ID | Técnica | Fase | |----|---------|------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploit Public-Facing Application | Initial Access | | [[t1059-command-scripting-interpreter\|T1059]] | Command and Scripting Interpreter | Execution | | [[t1059-command-scripting-interpreter\|T1059.001]] | PowerShell | Execution | | [[t1021-remote-services\|T1021]] | Remote Services | Lateral Movement | | [[t1572-protocol-tunneling\|T1572]] | Protocol Tunneling | C2 | | [[t1547-boot-autostart-execution\|T1547]] | Boot or Logon Autostart Execution | Persistence | **Classificação:** | Campo | Valor | |-------|-------| | CWE | CWE-502 - Deserialization of Untrusted Data | | CVSS 3.1 Vector | `AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` | | Attack Vector | Network (remoto, sem necessidade de acesso fisico) | | Privileges Required | None (sem autenticação) | | User Interaction | None | | Scope | Unchanged | | Confidentiality | High | | Integrity | High | | Availability | High | **Cadeia de vulnerabilidades (mesmo componente, tres bypass sucessivos):** ``` CVE-2024-28986 (ago/2024) → explorado ativamente → CISA KEV ↓ patch incompleto CVE-2024-28988 (out/2024) → bypass confirmado → CISA KEV ↓ patch incompleto CVE-2025-26399 (set/2025) → bypass novamente → CISA KEV (mar/2026) ``` ## Impacto Tecnico Um atacante que explore esta vulnerabilidade com sucesso pode: - **Execução de código remoto nao autenticado:** executar comandos arbitrarios no servidor WHD sem necessidade de credenciais - **Acesso a dados de help desk:** ler, modificar ou excluir tickets, dados de usuarios, credenciais armazenadas e configuracoes do sistema - **Instalacao de backdoors:** implantar ferramentas RMM legitimas (ex: [[Zoho ManageEngine]]) para persistência - **Infraestrutura de C2:** estabelecer tuneis [[Cloudflare]] para comando e controle - **Pivot para rede interna:** usar o servidor WHD como ponte para movimentação lateral na rede corporativa - **Persistência via VM:** atividade pos-exploração observada inclui deploys de maquinas virtuais [[QEMU]] com backdoors SSH **Impacto para organizacoes LATAM/Brasil:** O [[_solarwinds|SolarWinds]] Web Help Desk é amplamente utilizado por equipes de TI em organizacoes brasileiras de medio e grande porte, especialmente nos setores [[government]], [[financial]] e [[technology]]. A ferramenta frequentemente opera com privilegios elevados e acesso a credenciais de servico, tornando seu comprometimento um vetor critico para ransomware. A exploração ativa pelo grupo Warlock ransomware aumenta significativamente o risco para organizacoes que ainda nao aplicaram o hotfix. ## Produtos Afetados | Vendor | Produto | Versao Afetada | Versao com Fix | |--------|---------|----------------|----------------| | SolarWinds | Web Help Desk | <= 12.8.7 | 12.8.7 HF1 | | SolarWinds | Web Help Desk | todas anteriores | 2026.1 (recomendado) | **Nao afetado:** SolarWinds Web Help Desk versao 12.8.7 HF1 com hotfix aplicado, ou versao 2026.1 e superiores. **Nota:** O hotfix modifica arquivos core: `whd-core.jar`, `whd-web.jar`, `whd-persistence.jar` e adiciona `HikariCP.jar`. ## Patch e Mitigação **Patch oficial:** - Advisory: [SolarWinds Security Advisory - CVE-2025-26399](https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-26399) - Versao corrigida: **12.8.7 HF1** (hotfix) ou **2026.1** (upgrade completo - recomendado) - Data de lancamento do patch: **2025-09-24** **Como aplicar:** Para hotfix (12.8.7 HF1): 1. Verificar versao atual do WHD via painel administrativo 2. Fazer backup completo do banco de dados e configuracoes do WHD 3. Baixar o hotfix HF1 do portal de clientes SolarWinds 4. Aplicar o hotfix seguindo as instrucoes do advisory 5. Reiniciar o servico Web Help Desk 6. Verificar que os arquivos `whd-core.jar`, `whd-web.jar`, `whd-persistence.jar` foram atualizados Para upgrade completo (recomendado): 1. Fazer backup completo 2. Atualizar para SolarWinds Web Help Desk **2026.1**, que resolve toda a cadeia de desserializacao **Mitigacoes temporarias** (quando patch nao é imediatamente possível): - Restringir acesso ao WHD por IP via firewall - limitar apenas a IPs internos confiaveis - Bloquear requisicoes ao endpoint AjaxProxy via WAF - Monitorar logs do servidor para requisicoes com payloads JSON anômalos ao componente AjaxProxy - Isolar o servidor WHD da rede de producao se possível - Auditar contas de servico e credenciais armazenadas no WHD para rotacao imediata ## Exploração Ativa **Status atual:** **EXPLORACAO ATIVA CONFIRMADA** - utilizado pelo grupo Warlock ransomware como vetor de acesso inicial **Evidências de uso em ataques:** - **CISA KEV (2026-03-09)**: inclusao na KEV confirma exploração ativa in-the-wild - **Huntress (2026)**: documentou exploração ativa com detalhes de atividade pos-exploração - **MalwareTips/The Hacker News**: CISA flagou SolarWinds WHD como ativamente explorado junto com Ivanti e VMware Workspace ONE **Atividade pos-exploração observada:** - Deploy de ferramentas RMM legitimas (ex: [[Zoho ManageEngine]]) para persistência - Estabelecimento de persistência via maquinas virtuais [[QEMU]] com backdoors SSH - Uso de tuneis [[Cloudflare]] para comando e controle (C2) - Exfiltração de dados e preparação para deploy de ransomware **Grupos de ameaça utilizando:** - [[warlock-ransomware|Warlock Ransomware]] - confirmado pela CISA e pesquisadores independentes **Cadeia de vulnerabilidades WHD:** - [[cve-2024-28986|CVE-2024-28986]] - desserializacao original (agosto/2024, CISA KEV) - [[cve-2024-28988|CVE-2024-28988]] - bypass do patch original (CISA KEV) - **CVE-2025-26399** - bypass do segundo patch (este CVE) ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em **2026-03-09**. - **Prazo de remediacao para agencias federais EUA:** **2026-03-12** (**VENCIDO**) - **Recomendação para o setor privado:** atualizar com urgencia maxima; prazo federal já vencido e exploração ativa confirmada por grupo de ransomware; toda a cadeia de CVEs anteriores ([[cve-2024-28986|CVE-2024-28986]], [[cve-2024-28988|CVE-2024-28988]]) também foi explorada ativamente - **Referencia:** [CISA KEV - CVE-2025-26399](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O SolarWinds Web Help Desk é amplamente utilizado por equipes de TI em organizações brasileiras de médio e grande porte, especialmente nos setores governo, financeiro e tecnologia. A ferramenta frequentemente opera com privilégios elevados e acesso a credenciais de serviço, tornando seu comprometimento um vetor crítico para ransomware. A presença do SolarWinds no mercado brasileiro é significativa, com adoção por órgãos governamentais, instituições financeiras e provedores de serviços de TI que utilizam o WHD para gestão de chamados e suporte técnico. O histórico da empresa com o ataque [[s0559-sunburst|SUNBURST]] em 2020 já havia elevado o nível de alerta, e esta nova cadeia de vulnerabilidades reforça a necessidade de revisão urgente de todas as instalações WHD no Brasil. A exploração ativa pelo grupo [[warlock-ransomware|Warlock Ransomware]], combinada com o prazo CISA KEV já vencido (2026-03-12), coloca organizações brasileiras que ainda não aplicaram o hotfix em risco crítico. Equipes de segurança devem verificar imediatamente a versão do WHD em uso e aplicar o upgrade para 2026.1 ou, no mínimo, o hotfix HF1. ## Detecção e Resposta ### Splunk SPL ```spl index=web_logs sourcetype=access_combined OR sourcetype=iis | search (uri="*AjaxProxy*" OR uri="*ajaxproxy*") method=POST | eval suspicious=if(NOT like(uri, "%/ajax/%"), "BYPASS_ATTEMPT", "NORMAL") | where suspicious="BYPASS_ATTEMPT" | stats count, values(src_ip) as source_ips, values(user_agent) as agents by uri, status | sort -count ``` ```spl index=endpoint sourcetype=syslog OR sourcetype=wineventlog | search (process_name="java" OR process_name="java.exe") parent_process="*tomcat*" | search (command_line="*cmd.exe*" OR command_line="*powershell*" OR command_line="*bash*" OR command_line="*wget*" OR command_line="*curl*" OR command_line="*qemu*" OR command_line="*cloudflared*") | eval severity=case( like(command_line, "%qemu%"), "CRITICAL", like(command_line, "%cloudflared%"), "CRITICAL", like(command_line, "%powershell%"), "HIGH", 1=1, "MEDIUM" ) | table _time, host, user, process_name, command_line, severity | sort -_time ``` ### Microsoft Sentinel KQL ```kql // Deteccao de requisicoes ao AjaxProxy do SolarWinds WHD CommonSecurityLog | where TimeGenerated > ago(24h) | where RequestURL contains "AjaxProxy" and RequestMethod == "POST" | where RequestURL !contains "/ajax/" | project TimeGenerated, SourceIP, RequestURL, RequestMethod, DeviceAction | order by TimeGenerated desc ``` ```kql // Deteccao de processos filhos anomalos do Tomcat (WHD) DeviceProcessEvents | where TimeGenerated > ago(7d) | where InitiatingProcessFileName has_any ("java", "java.exe") | where InitiatingProcessCommandLine contains "tomcat" | where FileName has_any ("cmd.exe", "powershell.exe", "bash", "sh", "wget", "curl", "qemu", "cloudflared") | project TimeGenerated, DeviceName, AccountName, InitiatingProcessFileName, FileName, ProcessCommandLine | order by TimeGenerated desc ``` ### Regra Sigma ```yaml title: SolarWinds WHD CVE-2025-26399 AjaxProxy Deserialization RCE id: e5f6a7b8-c9d0-1234-efab-567890123456 status: experimental description: > Detecta tentativas de exploracao da CVE-2025-26399 via requisicoes POST ao componente AjaxProxy do SolarWinds Web Help Desk que contornam a sanitizacao ao omitir "/ajax/" na URI. references: - https://nvd.nist.gov/vuln/detail/CVE-2025-26399 - https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-CVE-2025-26399 author: RunkIntel date: 2026-03-23 tags: - attack.initial_access - attack.t1190 - attack.execution - attack.t1059 - cve.2025-26399 logsource: category: webserver detection: selection: cs-uri-stem|contains: 'AjaxProxy' cs-method: 'POST' filter_normal_path: cs-uri-stem|contains: '/ajax/' condition: selection and not filter_normal_path falsepositives: - Requisicoes legitimas via integracao API ao WHD (raro sem /ajax/) level: critical ``` ### EDR - CrowdStrike Falcon **Custom IOA Rule - processos Java/Tomcat gerando shells (SolarWinds WHD):** ``` Processo pai: java, java.exe Linha de comando do pai contém: tomcat, webhelpdesk Processo filho: cmd.exe, powershell.exe, bash, sh, wget, curl, qemu-system, cloudflared ``` **Threat Hunting Query (Falcon Insight/NG-SIEM):** ``` event_simpleName=ProcessRollup2 | search ParentBaseFileName IN (java, java.exe) AND ParentCommandLine="*tomcat*" | search FileName IN (cmd.exe, powershell.exe, bash, sh, wget, curl, qemu-system-x86_64, cloudflared) | eval risk=case( FileName="qemu-system-x86_64", "PERSISTENCE_VM", FileName="cloudflared", "C2_TUNNEL", FileName IN ("powershell.exe", "cmd.exe"), "EXEC_RISK", 1=1, "LATERAL") | table _time, ComputerName, UserName, FileName, CommandLine, risk | sort -_time ``` ## Indicadores de Comprometimento > [!warning] IoCs de Pos-Exploração > Os seguintes IoCs sao comportamentais/arquivos associados a atividade pos-exploração confirmada pelas pesquisas da Microsoft Defender (fev/2026) e Huntress (fev/2026). Nao ha IoCs de rede públicos específicos do exploit inicial. **Arquivos e artefatos suspeitos no host (pos-exploração):** | Artefato | Descrição | Fonte | |----------|-----------|-------| | `ToolsIQ.exe` | Componente Zoho ManageEngine RMM implantado por atacantes | Microsoft Defender (2026-02-06) | | `sspicli.dll` (maliciosa) | DLL falsa carregada via sideloading com `wab.exe` para dump de LSASS | Microsoft Defender (2026-02-06) | | `wab.exe` abusado | Windows Address Book executavel abusado para DLL sideloading | Microsoft Defender (2026-02-06) | | `cloudflared` | Binario Cloudflare Tunnel para C2 persistente | Huntress (2026-02-08) | | `Velociraptor v0.73.4` | Ferramenta de forensics abusada como C2 (versao antiga com CVE-2025-6264) | Huntress (2026-02-08) | **Paths de verificação de versao (para triage):** ``` Windows: C:\Program Files\WebHelpDesk\version.txt C:\Program Files\WebHelpDesk\lib\whd-core.jar ← versao do core ``` **Comportamento de rede indicativo de comprometimento:** - Conexoes de saida do processo `java.exe` (Tomcat/WHD) para hosts externos nao esperados - Tuneis SSH reversos a partir do servidor WHD - Sessoes RDP nao autorizadas originando do servidor WHD - Trafego BITS (Background Intelligent Transfer Service) do servidor WHD para IPs externos - Conexoes ao dominio `*.trycloudflare.com` ou `*.cloudflare.com` via `cloudflared` - Comúnicação com instancias Elastic Cloud nao corporativas **Caminhos de ataque documentados (Microsoft Defender 2026):** ``` WHD RCE (T1190) → PowerShell via BITS (T1059) → Deploy RMM Zoho (T1219) ↓ Enumeracao AD (T1087) DLL Sideloading wab.exe+sspicli.dll (T1574) Dump LSASS (T1003) DCSync (T1003.006) Lateral Movement via SSH/RDP (T1021) ``` ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-28986|CVE-2024-28986]] · [[cve-2024-28988|CVE-2024-28988]] **Atores explorando:** [[warlock-ransomware|Warlock Ransomware]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1021-remote-services|T1219 - Remote Access Software]] · [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] **Setores em risco:** [[government]] · [[financial]] · [[technology]] · [[healthcare]] **Contexto de vendor:** [[s0559-sunburst|SUNBURST]] · [[_solarwinds|SolarWinds]] ## Referências | Fonte | URL | Data | |-------|-----|------| | NVD / NIST | https://nvd.nist.gov/vuln/detail/CVE-2025-26399 | 2025-09-23 | | SolarWinds Advisory | https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-26399 | 2025-09-17 | | SolarWinds Release Notes (HF1) | https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-7-hotfix-1_release_notes.htm | 2025-09-24 | | CISA KEV | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | 2026-03-09 | | Microsoft Defender Blog | https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/ | 2026-02-06 | | Huntress Blog | https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-CVE-2025-26399 | 2026-02-08 | | The Hacker News (divulgacao) | https://thehackernews.com/2025/09/solarwinds-releases-hotfix-for-critical.html | 2025-09-23 | | The Hacker News (exploração ativa) | https://thehackernews.com/2026/02/solarwinds-web-help-desk-exploited-for.html | 2026-02-07 | | NetSPI Analysis | https://www.netspi.com/blog/executive-blog/critical-vulnerability/CVE-2025-26399-solarwinds-web-help-desk-overview-and-takeaways/ | 2026-03-10 | | ZeroPath Technical Summary | https://zeropath.com/blog/CVE-2025-26399-solarwinds-web-help-desk-ajaxproxy-deserialization-rce-summary | 2025-09-22 | | Arctic Wolf | https://arcticwolf.com/resources/blog/CVE-2025-26399/ | 2025-09-23 | | Help Net Security | https://www.helpnetsecurity.com/2025/09/24/solarwinds-web-help-desk-rce-CVE-2025-26399/ | 2025-09-24 | | SecurityWeek | https://www.securityweek.com/solarwinds-makes-third-attempt-at-patching-exploited-vulnerability/ | 2025-09-23 | | Tenable | https://www.tenable.com/cve/CVE-2025-26399 | 2025-09-23 |