Atakujący wykorzystują luki w SolarWinds Web Help Desk do wdrażania Velociraptora i tuneli Cloudflare - Security Bez Tabu

Atakujący wykorzystują luki w SolarWinds Web Help Desk do wdrażania Velociraptora i tuneli Cloudflare

Wprowadzenie do problemu / definicja luki

SolarWinds Web Help Desk (WHD) to popularny system ITSM/ticketowy, często wystawiany (niestety) do internetu dla wygody administratorów. W lutym 2026 pojawiły się wiarygodne potwierdzenia aktywnego wykorzystywania krytycznych podatności w WHD do uzyskania zdalnego wykonania kodu bez uwierzytelnienia (unauthenticated RCE), a następnie do wdrażania legalnych narzędzi użytych „na opak” — m.in. Zoho/ManageEngine do zdalnego dostępu, Cloudflare Tunnel (cloudflared) do trwałego wejścia oraz Velociraptor jako kanału C2/operacji post-exploitation.

W skrócie

  • Co się dzieje: aktywna eksploatacja instancji SolarWinds WHD wystawionych do internetu.
  • Najważniejsza podatność: CVE-2025-40551 (deserializacja niezaufanych danych → RCE), dodana przez CISA do KEV z krótkim terminem remediacji dla agencji federalnych (USA).
  • Dodatkowo obserwowane/rozważane CVE: m.in. CVE-2025-26399 oraz CVE-2025-40536 (bypass kontroli bezpieczeństwa) – w zależności od kampanii i momentu włamania.
  • Po wejściu: szybkie wdrożenie narzędzi dual-use (Zoho/ManageEngine), tuneli Cloudflare oraz Velociraptora wykorzystywanego jako C2.
  • Rekomendacja nr 1: aktualizacja WHD do 2026.1 lub nowszej i odcięcie paneli/admina od internetu.

Kontekst / historia / powiązania

Na przełomie stycznia i lutego 2026 SolarWinds udostępnił poprawki dla pakietu podatności w WHD, w tym krytycznych problemów jak CVE-2025-40551 (deserializacja) oraz CVE-2025-40536 (bypass zabezpieczeń); badacze przypisują odkrycia m.in. do Horizon3.ai i watchTowr.
Równolegle Microsoft opisał przypadki wielostopniowych intruzji zaczynających się od eksploatacji internet-exposed WHD, kończących się ruchem lateralnym w stronę aktywów „high value” (włącznie z ryzykiem kompromitacji domeny).
Huntress natomiast pokazał „z bliska” realny łańcuch ataku z 7 lutego 2026, gdzie po wejściu atakujący natychmiast uruchomili wdrażanie narzędzi do utrzymania dostępu i sterowania środowiskiem.

Analiza techniczna / szczegóły luki

Jakie podatności są wykorzystywane?

  • CVE-2025-40551 – kluczowy wektor: błąd deserializacji niezaufanych danych, prowadzący do RCE bez logowania. Status “Known Exploited” (KEV) sugeruje realne, potwierdzone użycie w atakach.
  • CVE-2025-40536 – opisywany jako security control bypass w zestawie styczniowych poprawek.
  • CVE-2025-26399 – starsza podatność, która również pojawia się w obserwacjach branżowych dot. aktywnej eksploatacji; w części przypadków trudno jednoznacznie przypisać konkretny CVE, bo hosty bywały podatne jednocześnie na „stary” i „nowy” zestaw.

Typowy łańcuch ataku (na podstawie obserwacji incident response)

  1. Initial access: eksploatacja podatnej, wystawionej do internetu instancji WHD → uruchomienie poleceń w kontekście aplikacji.
  2. Szybkie dołożenie zdalnego dostępu: instalacja agentów narzędzi klasy RMM (np. Zoho/ManageEngine) poprzez ciche MSI (np. msiexec /q /i ...).
  3. C2 i redundancja dostępu: wdrożenie Velociraptora (legalny DFIR) jako kanału C2 oraz zestawienie Cloudflare Tunnel (cloudflared) jako zapasowej ścieżki dostępu.
  4. Post-exploitation: rozpoznanie AD, enumeracja kont i grup (w tym uprzywilejowanych), ustanawianie trwałości (np. reverse SSH/RDP) oraz próby osłabienia zabezpieczeń na hoście.

Wersje i łatki

W źródłach pojawiają się różne progi wersji podatnych (co bywa efektem kilku CVE oraz różnych gałęzi hotfixów), ale wspólny mianownik jest prosty: aktualizuj do SolarWinds WHD 2026.1 (lub nowszej) zgodnie z zaleceniami producenta.

Praktyczne konsekwencje / ryzyko

  • Pełna kompromitacja serwera WHD: RCE bez logowania na aplikacji wystawionej do internetu to w praktyce „otwarte drzwi”.
  • Ryzyko kompromitacji domeny: Microsoft wprost opisuje scenariusz foothold → lateral movement → aktywa wysokiej wartości, co w środowiskach z WHD blisko AD bywa krytyczne.
  • Trudniejsze wykrycie (dual-use tooling): Zoho/ManageEngine, Cloudflare Tunnel czy Velociraptor są legalne i nierzadko spotykane w IT — atakujący liczą na to, że zginą w szumie.
  • Utrzymanie dostępu mimo działań obronnych: dodatkowe kanały (tunel Cloudflare, Velociraptor jako C2) zwiększają odporność ataku na proste blokady.

Rekomendacje operacyjne / co zrobić teraz

  1. Patch natychmiast: zaktualizuj SolarWinds WHD do 2026.1+ (lub wersji wskazanej w Twojej linii wsparcia) i usuń stare hotfixy tylko po potwierdzeniu ścieżki upgrade’u.
  2. Odłącz WHD od internetu: jeśli WHD musi być dostępny zdalnie — wymuś VPN/Zero Trust, filtrację IP, MFA, a interfejs admina trzymaj wyłącznie w sieci zarządzającej.
  3. Hunting / IOC-driven triage (praktyczne tropy):
    • nietypowe uruchomienia msiexec z parametrami cichej instalacji i URL (MSI z hostingu plików),
    • obecność/uruchomienia cloudflared, nietypowe tunele wychodzące,
    • artefakty Velociraptor (szczególnie, jeśli organizacja go nie używa),
    • oznaki osłabiania zabezpieczeń hosta (zmiany w Defender/Firewall, podejrzane zadania harmonogramu).
  4. Rotacja sekretów: zresetuj hasła i klucze powiązane z WHD (konta serwisowe, integracje, dostęp do bazy), rozważ ponowne wydanie poświadczeń, jeśli WHD miał dostęp do zasobów krytycznych.
  5. Segmentacja i egress control: ogranicz ruch wychodzący z serwera WHD (allow-list), monitoruj nietypowe połączenia do usług tunelujących i chmur.
  6. Detekcja behawioralna: postaw na reguły wykrywające łańcuchy procesów (np. usługa WHD/Tomcat → cmd.exe/PowerShell → BITS/download), a nie tylko sygnatury.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ten incydent to podręcznikowy przykład trendu „living off the land + dual-use”: zamiast custom malware, atakujący stawiają na legalne narzędzia administracyjne i IR/DFIR. Velociraptor jest tu szczególnie ciekawy — normalnie służy do polowań i analizy incydentów, a w rękach napastnika staje się elastycznym kanałem zdalnego sterowania.

Podsumowanie / kluczowe wnioski

  • WHD wystawiony do internetu + krytyczne luki = realne ryzyko szybkiej kompromitacji i eskalacji w głąb sieci.
  • W praktyce atak po wejściu może opierać się na „legalnych” narzędziach (Zoho/ManageEngine, Cloudflare Tunnel, Velociraptor), co utrudnia wykrycie bez dobrego telemetry + korelacji zachowań.
  • Najważniejsze działania: upgrade do 2026.1+, odcięcie ekspozycji internetowej, hunting pod konkretne artefakty i rotacja poświadczeń.

Źródła / bibliografia

  1. BleepingComputer – opis kampanii i narzędzi (Zoho/Cloudflare/Velociraptor) (BleepingComputer)
  2. Huntress – analiza aktywnej eksploatacji i łańcucha ataku (Huntress)
  3. Microsoft Security Blog – obserwacje dot. multi-stage intrusion i guidance detekcyjne (Microsoft)
  4. Help Net Security – kontekst poprawek i lista CVE z pakietu styczniowego (Help Net Security)
  5. NVD (wpis KEV/CISA dla CVE-2025-40551: daty, wymagane działania) (NVD)