Kritiek lek in SolarWinds Web Help Desk actief misbruikt door hackers
Cybersecuritybedrijf Huntress waarschuwt voor actieve exploitatie van een kritieke kwetsbaarheid in SolarWinds Web Help Desk (CVE-2025-26399). Aanvallers gebruiken het lek om op afstand volledige controle over systemen te krijgen.
Onderzoekers van Huntress hebben vastgesteld dat hackers inbraken plegen via verouderde versies van de software. Zodra zij toegang hebben, installeren zij legitieme tools voor beheer op afstand, zoals Zoho Assist en de forensische tool Velociraptor, om ongemerkt in het netwerk aanwezig te blijven en verdere verkenningen uit te voeren.
De aanvalsmethode
Het lek stelt aanvallers in staat om schadelijke code uit te voeren zonder dat daar inloggegevens voor nodig zijn. Huntress zag in recente gevallen dat hackers direct na de inbraak:
- Persistentie creëerden: Via Zoho ManageEngine-agenten hielden zij toegang tot de besmette omgeving.
- Verkenning uitvoerden: Aanvallers zochten via Active Directory naar andere computers in het domein voor verdere verspreiding.
- C2-kanalen opzetten: Door gebruik te maken van Cloudflare-tunnels en Velociraptor konden zij op afstand commando's geven aan de geïnfecteerde systemen.
Dringend advies: Update direct
De kwetsbaarheid treft alle versies van SolarWinds Web Help Desk ouder dan 12.8.7 HF1. SolarWinds heeft inmiddels een beveiligingsupdate beschikbaar gesteld.
Beheerders krijgen het dringende advies om hun huidige versie te controleren (te vinden in C:\Program Files\WebHelpDesk\version.txt) en de beschikbare hotfix onmiddellijk te installeren om misbruik te voorkomen. Microsoft en CISA hebben inmiddels ook gewaarschuwd voor de ernst van de situatie.
Reactie ManageEngine
ManageEngine meldt in een reactie: "We betreuren het ten zeerste dat een van onze producten, Zoho Assist – een legitieme oplossing voor ondersteuning op afstand van Zoho – is gebruikt voor illegale doeleinden. Wij willen benadrukken dat ManageEngine niet betrokken was bij de cyberaanval op SolarWinds Web Help Desk en wij veroordelen deze aanval krachtig. Zodra wij hierover werden geïnformeerd, hebben wij het betreffende gebruikersaccount dat misbruik maakte van de tool onmiddellijk beëindigd. Wij monitoren de situatie nauwlettend en zetten ons volledig in om de nodige maatregelen te nemen om herhaling van misbruik te voorkomen. De integriteit van onze producten blijft onze hoogste prioriteit."
"Daarnaast willen wij berichtgeving waarin wordt gesteld dat ‘Zoho Meeting’ en de Remote Monitoring and Management (RMM)-oplossing van ManageEngine – beide afzonderlijke, legitieme softwareproducten van het bedrijf – zouden zijn gebruikt, nadrukkelijk als onjuist bestempelen. Deze twee tools waren op geen enkele wijze betrokken."
