Uma falha crítica no Web Help Desk (WHD) da SolarWinds está sendo explorada ativamente por cibercriminosos para instalar web shells em servidores vulneráveis. A vulnerabilidade, identificada como CVE-2025-40551, recebeu pontuação CVSS 9.8, indicando gravidade extrema e risco de comprometimento total dos sistemas afetados. O problema está relacionado a uma falha de desserialização insegura na funcionalidade AjaxProxy do WHD, que pode ser explorada por um atacante remoto e não autenticado.
Ao enviar requisições maliciosas, os invasores conseguem executar comandos arbitrários no servidor e, em seguida, instalar scripts de controle persistente. Segundo analistas, os web shells implantados permitem que os atacantes mantenham acesso remoto ao sistema mesmo após tentativas de limpeza ou reinicialização. Essa técnica é comum em ataques direcionados e pode ser usada para espionagem, movimentação lateral e extração de dados sensíveis. A vulnerabilidade afeta múltiplas versões do Web Help Desk anteriores à 2026.1, que foi lançada pela SolarWinds em 28 de janeiro de 2026 com correções para essa e outras falhas críticas.
No entanto, muitos ambientes permanecem expostos, especialmente aqueles com instâncias acessíveis pela internet. A CISA (Agência de Segurança Cibernética dos EUA) adicionou a CVE-2025-40551 ao seu catálogo de vulnerabilidades exploradas ativamente (KEV), o que obriga órgãos federais a aplicar os patches o mais rápido possível. A agência também recomenda que empresas privadas atualizem seus sistemas imediatamente. Relatórios de segurança indicam que os ataques estão sendo realizados em larga escala, aproveitando implantações on-premises do WHD com configurações padrão. A falta de autenticação exigida para explorar a falha torna o cenário ainda mais perigoso.
