viernes, 30 de enero de 2026

Vulnerabilidad crítica en SolarWinds permite ejecución remota de código y elusión de seguridad

Investigadores de Horizon3.ai descubrieron múltiples vulnerabilidades críticas en SolarWinds Web Help Desk (WHD), que culminan en una ejecución remota de código (RCE) sin autenticación a través de la deserialización de Java en CVE-2025-40551. Estas fallas encadenan credenciales estáticas, omisiones de seguridad y debilidades de deserialización, afectando a versiones anteriores a la 2026.1. 


Investigadores de Horizon3.ai descubrieron múltiples vulnerabilidades críticas en SolarWinds Web Help Desk (WHD), que culminan en una ejecución remota de código (RCE) sin autenticación mediante deserialización de Java en CVE-2025-40551.

Estas fallas encadenan credenciales estáticas, bypass de seguridad y debilidades de deserialización, afectando a versiones anteriores a la 2026.1.

SolarWinds WHD, una plataforma de gestión de servicios de TI para emisión de tickets y seguimiento de activos, ha enfrentado problemas recurrentes de deserialización.

En 2024, CVE-2024-28986 permitió RCE a través de AjaxProxy y fue añadida al catálogo de Vulnerabilidades Explotadas Conocidas de CISA; los parches fueron eludidos por CVE-2024-28988 y CVE-2025-26399.




La última cadena de exploits aprovecha rutas similares, eludiendo la sanitización en el manejo de JSON-RPC.

Demostración de la vulnerabilidad (Fuente: Horizon3.ai)

Las fallas incluyen credenciales hardcodeadas, bypass de CSRF y filtros de solicitudes, y deserialización insegura en la biblioteca jabsorb.

ID de CVEDescripciónPuntuación CVSS v3.1Impacto
CVE-2025-40551RCE sin autenticación vía deserialización en AjaxProxy9.8Ejecución remota de comandos
CVE-2025-40537Credenciales estáticas "client:client" que permiten acceso de administrador7.5Escalada de privilegios no autorizada
CVE-2025-40536Bypass de protección mediante parámetro falso "/ajax/"8.1Acceso a WebObjects restringidos

Los atacantes eluden las listas blancas modificando URIs de "/ajax/" a "/wo/", crean componentes con "wopage" e inyectan gadgets como búsquedas JNDI.

Cadena de Explotación

Los atacantes sin autenticación comienzan creando una sesión en la página de inicio de sesión para extraer los tokens wosid y XSRF.

Eluden los filtros con "?badparam=/ajax/&wopage=LoginPref" para instanciar LoginPref, permitiendo acceso a AjaxProxy, y luego envían payloads JSON maliciosos mediante JSONRPC para deserialización.

Una plantilla de Nuclei demuestra una búsqueda JNDI hacia servidores externos, confirmando el potencial de RCE.

Monitorea los logs en <Instalación>/logs/ en busca de señales de explotación.

Tipo de LogEjemplo de IOC
whd-session.log"eventType=[login], accountType=[client], username=[client]"
whd.log"Whitelisted payload with matched keyword: java.." o errores de JSONRPC
Access logsSolicitudes a "/Helpdesk.woa/wo/*" con parámetros no permitidos como "badparam=/ajax/"

IPs inusuales accediendo a endpoints restringidos pueden indicar un compromiso.

Mitigaciones

Actualiza inmediatamente a WHD 2026.1, que soluciona estos problemas, según las notas de lanzamiento de SolarWinds. Revisa las configuraciones para deshabilitar cuentas predeterminadas y aplica filtros estrictos de solicitudes.

Herramientas como NodeZero ya ofrecen cobertura; mantente atento a las actualizaciones de CISA sobre explotación.



Fuentes:
https://cybersecuritynews.com/solarwinds-web-rce-vulnerability/

No hay comentarios:

Publicar un comentario