В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярном программном обеспечении для управления ИТ-инфраструктурой. Уязвимость, получившая идентификаторы BDU:2026-00960 и CVE-2025-40551, затрагивает систему SolarWinds Web Help Desk (WHD) и связана с опасными недостатками в механизме десериализации данных. Эксплуатация этой уязвимости позволяет злоумышленнику, действующему удалённо без аутентификации, выполнить произвольный код на сервере. Для этого достаточно отправить специально сформированный JSON-файл через уязвимый сервлет AjaxProxy, который использует библиотеку jabsorb.
Детали уязвимости
Уязвимы все версии SolarWinds Web Help Desk вплоть до 12.8.8 HF1 включительно. Производитель, компания SolarWinds Inc., уже подтвердил наличие проблемы и выпустил патчи. Согласно базовой оценке CVSS 3.1, уязвимость имеет критический уровень опасности с баллом 9.8. Более того, в открытом доступе уже существуют рабочие эксплойты, что значительно повышает актуальность угрозы. Следовательно, злоумышленники могут начать массовые атаки в ближайшее время.
Технически проблема классифицируется как "Десериализация ненадёжных данных" (CWE-502). Уязвимость позволяет атакующему манипулировать структурами данных, которые передаются на сервер. В результате, при обработке вредоносного JSON-файла, система может выполнить произвольный и потенциально опасный код. Этот механизм часто используется для полного захвата контроля над уязвимым приложением и сервером, на котором оно работает. Например, злоумышленник может установить программы-вымогатели (ransomware), создать бэкдоры для постоянного доступа (persistence) или похитить конфиденциальные данные.
Для устранения уязвимости необходимо срочно обновить SolarWinds Web Help Desk до версии, следующей за 12.8.8 HF1. Производитель рекомендует пользователям обратиться к официальному бюллетеню безопасности. Однако в условиях текущих международных санкций российским организациям следует с особой осторожностью подходить к установке обновлений из внешних источников. Необходимо предварительно оценить все сопутствующие риски в рамках внутренних процедур кибербезопасности.
Если немедленное обновление невозможно, эксперты рекомендуют принять ряд компенсирующих мер. Прежде всего, следует ограничить доступ к интерфейсу WHD из интернета. Доступ рекомендуется организовывать только через защищённые каналы, такие как виртуальные частные сети (VPN). Кроме того, эффективным решением может стать настройка межсетевых экранов уровня веб-приложений (WAF) для фильтрации подозрительного сетевого трафика, содержащего манипуляции с JSON.
Дополнительно, для повышения уровня защиты стоит использовать антивирусное программное обеспечение для проверки файлов, поступающих из недоверенных источников. Для мониторинга и быстрого обнаружения аномальной активности, связанной с обработкой JSON-запросов, необходимо задействовать системы класса SIEM. Также крайне полезно применять принцип минимальных привилегий и настроить политики доступа по "белому списку" к уязвимому программному обеспечению.
Эта уязвимость стала очередным напоминанием об опасностях, связанных с десериализацией непроверенных данных. Ранее аналогичные проблемы неоднократно обнаруживались в различных корпоративных продуктах. Поскольку SolarWinds Web Help Desk широко используется для управления тикетами и ИТ-активами, его компрометация может привести к серьёзным последствиям. В частности, возможна полная остановка работы службы технической поддержки и утечка критически важной информации.
Таким образом, администраторам и специалистам по информационной безопасности необходимо безотлагательно проверить свои системы на наличие этой уязвимости. Затем нужно принять решение о применении официального патча или реализации компенсирующих мер. Постоянный мониторинг событий безопасности и готовность к оперативному реагированию остаются ключевыми факторами защиты корпоративной инфраструктуры от подобных критических угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-00960
- https://www.cve.org/CVERecord?id=CVE-2025-40551
- https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-40551
- https://horizon3.ai/attack-research/cve-2025-40551-another-solarwinds-web-help-desk-deserialization-issue/
