- Hackers exploram vulnerabilidades do Help Desk da Web da SolarWinds CVE-2025-40551 e CVE-2025-26399
- Os invasores implementam Zoho ManageEngine, túneis Cloudflare e Velociraptor para persistência e controle
- A campanha, que está em andamento desde janeiro, desativa ferramentas de segurança antes que elas possam espalhar mais malware
Por que espalhar malware e arriscar alarmes quando você pode instalar ferramentas legítimas e abusar delas para fins maliciosos? Foi isso que os hackers fizeram com pelo menos três organizações, de acordo com um novo relatório dos pesquisadores de segurança cibernética Huntress.
Segundo os pesquisadores, a plataforma SolarWinds Web Help Desk (WHD) apresenta duas vulnerabilidades. A primeira é uma vulnerabilidade de desserialização de dados não confiáveis que pode levar à execução remota de código (RCE). Permanece como CVE-2025-40551 e recebeu uma pontuação de gravidade de 9,8/10 (crítico).
O segundo é um bug de desserialização do AjaxProxy não autenticado que também leva ao RCE. Isso é rastreado como CVE-2025-26399, também com pontuação de 9,8/10.
Baixando o código VS
Ambos são aparentemente usados por agentes de ameaças não identificados para obter acesso a redes alvo e implantar ferramentas legítimas de monitoramento e gerenciamento remoto. Huntress mencionou o Zoho ManageEngine, mas também os túneis Cloudflare e a ferramenta de resposta a incidentes cibernéticos Velociraptor.
A campanha começou em meados de janeiro e provavelmente ainda está em andamento:
“Em 7 de fevereiro de 2026, o analista SOC da Huntress, Dipo Rodipe, investigou um caso de exploração do SolarWinds Web Help Desk, onde o ator da ameaça implantou rapidamente túneis Zoho Meetings e Cloudflare para persistência, bem como comando e controle do Velociraptor”, disse Huntress.
As identidades dos agressores e das vítimas são desconhecidas neste momento e não sabemos qual foi o propósito dos ataques. A Huntress enfatizou que os invasores usaram seu acesso para desabilitar programas de segurança em execução na infraestrutura alvo, em preparação para a implantação de malware adicional.
“Aproximadamente um segundo depois de desativar a defesa, o autor da ameaça baixou uma nova cópia dos binários do VS Code”, disseram os pesquisadores.
Em um relatório separado, a Microsoft também enfatizou que viu o SolarWinds Web Help Desk sendo abusado nos ataques, mas não informou quais vulnerabilidades foram utilizadas.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
