Агентство кибербезопасности и инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей, включив в него новую критическую проблему в продукте SolarWinds. Речь идёт об уязвимости, получившей идентификатор CVE-2025-40536, которая затрагивает платформу управления услугами Web Help Desk. Включение в каталог KEV означает, что специалисты CISA получили достоверные доказательства активного использования этой уязвимости злоумышленниками в реальных атаках. Следовательно, федеральные агентства США теперь обязаны выполнить её устранение в установленные сроки. Это также служит серьёзным сигналом для всех коммерческих организаций по всему миру, использующих данный продукт.
Детали уязвимости
Уязвимость CVE-2025-40536 классифицирована как обход механизмов безопасности (Security Control Bypass). Согласно описанию, она позволяет неаутентифицированному злоумышленнику получить доступ к определённой ограниченной функциональности системы. Фактически, атакующий может миновать стандартные проверки безопасности и выполнить несанкционированные действия. Эксперты отмечают, что подобные уязвимости часто становятся первым шагом для более глубокого проникновения в корпоративную сеть. После первоначального доступа злоумышленники могут установить вредоносное ПО, повысить привилегии или перемещаться между системами.
Продукт SolarWinds Web Help Desk представляет собой веб-платформу для управления ИТ-услугами и helpdesk-операциями. Он используется для обработки запросов пользователей, управления инцидентами и активами. Уязвимость затрагивает версии 12.8.8 HF1 и все более ранние. Критичность проблемы подчёркивается высоким баллом CVSS 3.1 - 8.1. Вектор атаки оценивается как AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H, что означает возможность удалённой эксплуатации по сети с высоким влиянием на конфиденциальность, целостность и доступность данных, хотя сложность атаки оценивается как высокая.
Обнаружение уязвимости приписывается исследователю Джими Себри, который работал совместно с компанией Horizon3.ai. Это подразделение известно своим проектом по независимому поиску уязвимостей. Включение CVE-2025-40536 в каталог KEV следует стандартной процедуре CISA. Агентство собирает информацию из открытых источников и партнёрских разведданных. Когда появляются доказательства активной эксплуатации в дикой природе, уязвимость вносится в каталог. Это делает её приоритетом для немедленного исправления, особенно в контексте угроз от продвинутых постоянных угроз (APT).
Для организаций, использующих уязвимую версию SolarWinds Web Help Desk, критически важно предпринять немедленные действия. Первым шагом является применение последних обновлений безопасности от вендора. SolarWinds, вероятно, уже выпустила патч для устранения этой проблемы. Если немедленное обновление невозможно, рекомендуется реализовать временные компенсирующие меры контроля. Например, можно ограничить сетевой доступ к интерфейсу Web Help Desk только доверенным IP-адресам или сегментам сети. Также необходимо усилить мониторинг журналов необычной активности, особенно попыток неаутентифицированного доступа к административным функциям.
Это событие вновь привлекает внимание к безопасности продуктов SolarWinds. Специалисты по безопасности рекомендуют организациям не только применять исправления, но и пересматривать общую стратегию управления уязвимостями. Регулярное обновление программного обеспечения и сегментация сети остаются ключевыми принципами защиты.
В долгосрочной перспективе подобные случаи демонстрируют важность программ ответственного разглашения уязвимостей и сотрудничества между независимыми исследователями, вендорами и государственными органами, такими как CISA. Своевременное информирование сообщества позволяет минимизировать окно возможностей для атакующих. Для ИТ-администраторов и специалистов SOC каталог KEV является одним из наиболее важных источников для определения приоритетов в работе по исправлению уязвимостей. В конечном итоге, оперативная реакция на подобные угрозы - это краеугольный камень современной киберобороны.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-40536
- https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-40536
- https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_2026-1_release_notes.htm
