# CVE-2025-40551 > [!critical] CVSS 9.8 - SolarWinds Web Help Desk RCE sem Autenticação > Deserialização de dados não confiáveis no SolarWinds Web Help Desk permite execução remota de código sem autenticação, comprometendo completamente sistemas de gestão de tickets de TI amplamente utilizados em ambientes corporativos. ## Visão Geral CVE-2025-40551 é uma vulnerabilidade crítica (CVSS 9.8) no **SolarWinds Web Help Desk**, uma solução popular de gerenciamento de service desk e ITSM utilizada em ambientes enterprise. A falha está na deserialização insegura de dados (CWE-502) recebidos via rede, sem necessidade de autenticação prévia. Um atacante pode enviar um payload serializado malicioso para o endpoint vulnerável e obter execução remota de código no servidor que hospeda o Web Help Desk. A gravidade desta vulnerabilidade é amplificada pelo contexto da aplicação: o SolarWinds Web Help Desk frequentemente roda com privilégios elevados e tem acesso a dados de ativos de TI, senhas de sistemas, configurações de rede e outros recursos sensíveis da organização. Um comprometimento bem-sucedido pode fornecer ao atacante um mapa completo da infraestrutura da vítima, além de credenciais armazenadas em tickets e bases de conhecimento. O histórico da SolarWinds é relevante — a empresa foi vítima do notório ataque de supply chain [[operation-solarwinds|SolarWinds Sunburst]] em 2020, atribuído ao grupo [[apt29|APT29]] (Cozy Bear). Esta CVE, embora seja uma vulnerabilidade de produto e não de supply chain, mantém o alerta elevado sobre a criticidade de produtos SolarWinds em ambientes corporativos. O prazo da CISA para mitigação foi 6 de fevereiro de 2026. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|---------------------|-----------------| | SolarWinds Web Help Desk | Todas as versões < 2026.1 | 2026.1+ | ## Análise Técnica A vulnerabilidade é classificada como **CWE-502** (Deserialization of Untrusted Data). O padrão de ataque: 1. **Identificação do endpoint:** Localizar instância Web Help Desk exposta (porta padrão 8080/8443) 2. **Construção do payload:** Criar objeto serializado Java ou .NET malicioso 3. **Envio não autenticado:** Submeter payload ao endpoint vulnerável sem credenciais 4. **Execução de código:** O servidor deserializa e executa o payload no contexto do processo Esta vulnerabilidade mapeia para [[t1190-exploit-public-facing-application|T1190]] e pode ser seguida de [[t1505-server-side-component|T1505]] (Server Software Component) para persistência via webshell no servidor comprometido. ## Attack Flow ```mermaid graph TB A["🔍 Descoberta<br/>Scan por Web Help Desk<br/>Portas 8080/8443 expostas"] --> B["📦 Payload serializado<br/>Java/objeto malicioso<br/>Sem autenticação necessária"] B --> C["💥 RCE no servidor<br/>CVE-2025-40551<br/>Deserialização não confiável"] C --> D["🏠 Acesso ao ITSM<br/>Credenciais em tickets<br/>Mapa da infraestrutura TI"] D --> E["🔄 Movimento lateral<br/>Credenciais extraídas<br/>Acesso a ativos críticos"] ``` ## Mitigação **Ação imediata (CISA KEV - prazo: 6 fev 2026):** 1. **Atualizar** para o SolarWinds Web Help Desk versão 2026.1 ou superior imediatamente 2. **Isolar** a instância da internet pública enquanto o patch é preparado 3. **Revisar** logs de acesso para requests anômalos antes da data de patch 4. **Rotacionar** todas as credenciais armazenadas no Web Help Desk como precaução 5. **Implementar WAF** na frente da aplicação para filtrar payloads de deserialização Referência: [SolarWinds Security Advisory - CVE-2025-40551](https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-40551) > [!latam] Relevância para Brasil e América Latina > O SolarWinds Web Help Desk é amplamente utilizado por empresas de médio e grande porte no Brasil como solução de ITSM. Equipes de TI que gerenciam tickets com senhas de sistemas, configurações de roteadores e dados de ativos via este software representam alvos de alto valor. Após o incidente SolarWinds de 2020, qualquer vulnerabilidade crítica neste ecossistema deve ser tratada com máxima urgência. SOCs brasileiros devem verificar se instâncias estão expostas à internet e aplicar o patch 2026.1 imediatamente. ## Referências - [SolarWinds Security Advisory](https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-40551) - [SolarWinds Release Notes 2026.1](https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_2026-1_release_notes.htm) - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-40551) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) **Ver também:** [[_solarwinds|SolarWinds]] · [[apt29|APT29]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1505-server-side-component|T1505]] · [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1026-privileged-account-management|M1026]]