SolarWinds Hotfix Crítico: CVE-2025-26399 e RCE

Lucas Catão de Moraes

10 horas atrás

A SolarWinds lançou no dia 23 de setembro de 2025 um hotfix emergencial para corrigir uma vulnerabilidade crítica identificada como CVE-2025-26399, que afeta o software Web Help Desk (WHD). Neste artigo do blog Dolutech, vamos analisar detalhadamente os impactos dessa falha de segurança que, mais uma vez, coloca em evidência a necessidade de implementar medidas robustas de cibersegurança em ambientes corporativos.

O que é a CVE-2025-26399?

A vulnerabilidade CVE-2025-26399 é classificada com pontuação CVSS de 9.8, considerada crítica, e decorre da desserialização insegura de dados não confiáveis no componente AjaxProxy. A gravidade dessa falha não pode ser subestimada, pois permite que atacantes remotos executem código arbitrário em sistemas vulneráveis sem necessidade de autenticação.

A vulnerabilidade afeta especificamente o SolarWinds Web Help Desk versão 12.8.7 e todas as versões anteriores, representando um risco significativo para organizações que dependem dessa plataforma para gerenciamento de tickets e ativos de TI.

Histórico Preocupante: Terceira Tentativa de Correção

Um aspecto particularmente alarmante da CVE-2025-26399 é que ela representa a terceira tentativa da SolarWinds de corrigir uma falha fundamental no mesmo componente. Esta vulnerabilidade é um bypass de patch da CVE-2024-28988, que por sua vez foi um bypass da CVE-2024-28986.

Cronologia das Vulnerabilidades:

Agosto de 2024: SolarWinds lança hotfix para CVE-2024-28986, uma vulnerabilidade de desserialização RCE crítica no Web Help Desk
Outubro de 2024: Descoberta da CVE-2024-28988, outro bug de desserialização Java RCE no AjaxProxy
Setembro de 2025: Identificação da CVE-2025-26399 como bypass das correções anteriores

A Dolutech considera essa sequência de eventos extremamente preocupante, especialmente considerando que a CVE-2024-28986 foi adicionada ao catálogo de Vulnerabilidades Conhecidas Exploradas da CISA, indicando exploração ativa por criminosos cibernéticos.

Detalhes Técnicos da Vulnerabilidade

Vetor de Ataque

A aplicação falha em validar adequadamente objetos Java serializados, permitindo que atacantes criem payloads maliciosos que, quando processados, podem levar à execução de código arbitrário. Esse tipo de vulnerabilidade de desserialização é particularmente perigosa porque permite que dados aparentemente legítimos sejam usados como vetores de ataque.

Impactos da Exploração

Quando explorada com sucesso, a CVE-2025-26399 pode resultar em:

Acesso Remoto Não Autorizado: Atacantes podem explorar a vulnerabilidade sem autenticação, visando remotamente servidores que executam o SolarWinds Web Help Desk
Execução de Código Remoto: A falha permite que atacantes executem código arbitrário no servidor afetado enviando payloads serializados maliciosos para o módulo AjaxProxy
Comprometimento Total do Sistema: A exploração bem-sucedida fornece aos atacantes acesso de nível SYSTEM, garantindo controle total sobre o servidor

Exemplo Técnico: Mitigação de Desserialização Insegura

Para profissionais de cibersegurança que lidam com aplicações Java, é fundamental implementar validação adequada de desserialização. Um exemplo de código seguro incluiria:

// Implementação de validação segura
public class SecureDeserializer {
    private static final Set<String> ALLOWED_CLASSES = Set.of(
        "com.example.safe.Class1",
        "com.example.safe.Class2"
    );
    
    public static Object deserialize(byte[] data) throws Exception {
        try (ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data))) {
            // Validação de classe antes da desserialização
            ois.setObjectInputFilter(filterInfo -> {
                if (filterInfo.serialClass() != null) {
                    return ALLOWED_CLASSES.contains(filterInfo.serialClass().getName()) 
                        ? ObjectInputFilter.Status.ALLOWED 
                        : ObjectInputFilter.Status.REJECTED;
                }
                return ObjectInputFilter.Status.UNDECIDED;
            });
            return ois.readObject();
        }
    }
}

Aplicação do Hotfix 12.8.7 HF1

Processo de Instalação

A SolarWinds lançou o Web Help Desk 12.8.7 Hotfix 1 em 23 de setembro de 2025. A atualização substitui arquivos JAR vulneráveis no diretório <WebHelpDesk>/bin/webapps/helpdesk/WEB-INF/lib/ e adiciona um novo componente HikariCP.jar.

Passos para Aplicação:

Backup dos Arquivos: Administradores devem fazer backup dos arquivos existentes c3p0.jar, whd-core.jar, whd-web.jar e whd-persistence.jar
Substituição dos JARs: Excluir as versões desatualizadas e copiar os JARs fornecidos do pacote hotfix
Reinicialização: Após substituir os arquivos, reiniciar o serviço Web Help Desk para aplicar o patch

Cenário de Risco e Recomendações

Avaliação de Ameaças

Embora não haja evidências da vulnerabilidade sendo explorada na natureza, especialistas em segurança alertam que, dado o histórico da SolarWinds, a exploração in-the-wild é altamente provável. A empresa já enfrentou o infame ataque à cadeia de suprimentos em 2020, atribuído ao Serviço de Inteligência Estrangeira da Rússia (SVR).

Estratégias de Mitigação

Nós recomendamos as seguintes medidas imediatas:

Aplicação Prioritária do Hotfix: Implementar o Web Help Desk 12.8.7 HF1 imediatamente
Monitoramento Contínuo: Estabelecer alertas para tentativas de exploração do componente AjaxProxy
Segmentação de Rede: Isolar sistemas WHD em segmentos de rede protegidos
Auditoria de Logs: Revisar logs históricos para identificar possíveis tentativas de exploração
Plano de Resposta a Incidentes: Preparar procedimentos específicos para comprometimento do WHD

Contexto MITRE ATT&CK

A exploração da CVE-2025-26399 pode ser mapeada para várias técnicas do framework MITRE ATT&CK, incluindo TA0001 (Acesso Inicial), TA0002 (Execução), TA0004 (Escalação de Privilégios) e TA0008 (Movimento Lateral). Esta classificação ajuda as equipes de segurança a compreender o potencial impacto da vulnerabilidade em seus ambientes.

Lições Aprendidas e Perspectivas

A sequência de vulnerabilidades no SolarWinds Web Help Desk destaca a importância crítica de:

Testes de Segurança Robustos: A necessidade de validação abrangente de patches antes da liberação
Desenvolvimento Seguro: Implementação de práticas de codificação segura, especialmente em operações de desserialização
Monitoramento Proativo: Detecção precoce de tentativas de bypass de patches

Conclusão

A CVE-2025-26399 representa mais um capítulo preocupante na saga de vulnerabilidades da SolarWinds, demonstrando que mesmo correções múltiplas podem não ser suficientes para eliminar completamente uma falha de segurança fundamental. A Dolutech enfatiza que organizações que utilizam o Web Help Desk devem tratar esta vulnerabilidade como uma prioridade máxima de segurança.

A aplicação imediata do hotfix 12.8.7 HF1 não é apenas recomendada – é essencial. Além disso, este incidente serve como um lembrete importante de que a cibersegurança requer vigilância constante e que nenhuma organização está imune a vulnerabilidades críticas, mesmo após múltiplas tentativas de correção.

A esperança é que esta seja efetivamente a terceira e definitiva correção para esta família de vulnerabilidades, mas a história nos ensina que a preparação contínua e o monitoramento proativo são as melhores defesas contra ameaças emergentes na cibersegurança moderna.

SolarWinds Trust Center Security Advisories | CVE-2025-26399

NVD – CVE-2025-26399

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.