Freym PC Blog

Vulnerabilidad crítica en SolarWinds

Admin
February 17, 2026
Vulnerabilidad crítica en SolarWinds
Translate to:
Comparativa de herramientas LLM locales

La vulnerabilidad crítica de SolarWinds que está dando guerra estos días es la que afecta a Web Help Desk (WHD), con varias CVE implicadas, destacando CVE‑2025‑40551 como RCE crítica activamente explotada.

CVE principal: CVE‑2025‑40551 (WHD)

  • Tipo: deserialización de datos no confiables en SolarWinds Web Help Desk que permite ejecución remota de código (RCE) en el contexto de la aplicación, sin necesidad de autenticación previa.
  • Severidad: CVSS 9.8 (crítico); CISA la ha añadido a su catálogo KEV y confirma explotación activa en Internet.
  • Afectados: WHD 12.8.8 HF1 y versiones anteriores, según análisis de Elastic y otros vendors.

Otras CVE implicadas en los incidentes

Los incidentes observados no se limitan a una sola CVE; se barajan varias vulnerabilidades recientes en WHD:

  • CVE‑2025‑26399: RCE no autenticada mediante deserialización en AjaxProxy, afecta a WHD 12.8.7 y anteriores.
  • CVE‑2025‑40536: vulnerabilidad de bypass de controles de seguridad, afecta a WHD 12.8.8 HF1 y anteriores.
  • CVE‑2025‑40551: deserialización de datos no confiables (RCE), también en WHD 12.8.8 HF1 y anteriores.

En una campaña típica, los actores pueden encadenar bypass de autenticación/controles (p. ej. CVE‑2025‑40536) con RCE (CVE‑2025‑26399 o 40551) para obtener acceso completo al servidor WHD.

Cómo se están explotando en la práctica

  • Microsoft y varios vendors han observado explotación contra instancias WHD expuestas a Internet desde diciembre de 2025, con un pico de actividad reportado el 6 de febrero de 2026.
  • Tras lograr RCE en el servidor WHD, los atacantes suelen: desplegar RMM legítimos (AnyDesk, ScreenConnect u otros) para persistencia, hacer credential dumping, y montar túneles (Cloudflare Tunnel, RDP expuesto) para acceso estable al entorno interno.

Ejemplo típico de cadena de ataque descrita por Elastic/Microsoft:

  1. Exploit RCE en WHD (CVE‑2025‑26399 o 40551).
  2. Instalación/uso de agente RMM o herramienta como Velociraptor para ejecutar comandos, desactivar Defender y abrir túneles.
  3. Robo de credenciales y pivot hacia AD u otros sistemas internos desde el servidor WHD comprometido.

Acciones recomendadas si usas Web Help Desk

  • Parchar ya: actualizar a Web Help Desk 2026.1 (o la versión que SolarWinds marque como fija para este lote de CVE); es la recomendación explícita en múltiples avisos.
  • Quitar de Internet: restringir el acceso a WHD a redes internas/VPN; evitar exposición directa al exterior.
  • Revisión de logs e IoC:
    • Buscar accesos inusuales al endpoint AjaxProxy o peticiones raras hacia WHD.
    • Revisar instalación/ejecución de RMM inesperados, uso de Velociraptor para desactivar Defender o creación de túneles Cloudflare.
  • Credenciales: forzar cambio de contraseñas de cuentas de servicio y admins asociadas a WHD, y revisar tickets/adjuntos por posible exfiltración de datos sensibles.
Comments (0)

No comments yet. Be the first to comment!