SolarWinds je u utorak objavio novi hotfiks za kritičnu ranjivost u svom Web Help Desk softveru, što je već treći pokušaj da se ispravi problem koji hakeri mogu da iskoriste za izvršavanje malicioznih komandi na kompromitovanom sistemu.
Najnovija ranjivost, označena kao CVE-2025-26399 sa CVSS ocjenom 9.8, opisana je kao neautentifikovana AjaxProxy deserializacija koja omogućava izvršavanje udaljenog koda (RCE). Kako se navodi u bezbjednosnom saopštenju kompanije, riječ je o zaobilaznom eksploatisanju prethodne zakrpe za CVE-2024-28988, koja je već bila zakrpa za originalnu ranjivost CVE-2024-28986.
Prvobitna ranjivost CVE-2024-28986, takođe sa CVSS ocjenom 9.8, bila je Java deserializacija koja nije zahtijevala autentifikaciju i prijavljena je kao aktivno eksploatisana svega nekoliko dana nakon što je SolarWinds izdao hotfiks u avgustu 2024.
Već nakon nedjelju dana, kompanija je morala da objavi drugi hotfiks, ovoga puta za CVE-2024-28987 (CVSS 9.1), kojim su uklonjene hardkodirane kredencijale koji su bili izloženi tokom prvog pokušaja zakrpe.
U oktobru 2024, istog dana kada je američka agencija CISA upozorila da su pomenuti hardkodirani kredencijali već korišćeni u napadima, SolarWinds je izdao treći hotfiks kojim je ispravljena i ranjivost CVE-2024-28988 (CVSS 9.8), još jedan Java deserializacijski RCE u AjaxProxy komponenti.
“ZDI tim je identifikovao ovu ranjivost tokom istraživanja prethodne i utvrdio da je moguća neautentifikovana zloupotreba”, objasnio je tada SolarWinds. Najnoviji propust, CVE-2025-26399, otkrio je anonimni istraživač bezbjednosti koji sarađuje sa Trend Micro ZDI.
Iako do sada nisu prijavljeni napadi koji koriste CVE-2024-28988, stručnjaci savjetuju korisnicima da što prije primijene najnoviji hotfiks, imajući u vidu ozbiljnost problema i istoriju aktivne eksploatacije originalne ranjivosti.
“Prvobitni propust je bio aktivno iskorišćen, i iako trenutno nemamo dokaze da se najnoviji patch bypass koristi u napadima, iskustvo nam govori da je samo pitanje vremena”, upozorio je Ryan Dewhurst, šef threat intelligence tima u watchTowr-u.
SolarWinds je objavio Web Help Desk verziju 12.8.7 Hotfix 1 za CVE-2025-26399, a u pratećim uputstvima nalaze se detalji za primjenu zakrpe.
Izvor: SecurityWeek