- Hackers exploram falhas do SolarWinds Web Help Desk CVE-2025-40551 e CVE-2025-26399
- Os invasores implantam Zoho ManageEngine, túneis Cloudflare e Velociraptor para persistência e controle
- Campanha em andamento desde janeiro, desativando ferramentas de segurança antes de implantar malware adicional
Por que implantar malware e correr o risco de disparar alarmes, quando você pode simplesmente instalar ferramentas legítimas e abusar delas para fins maliciosos? Foi isso que os hackers fizeram recentemente com pelo menos três organizações, de acordo com um novo relatório dos pesquisadores de segurança cibernética Huntress.
De acordo com os investigadores, a plataforma SolarWinds Web Help Desk (WHD) contém duas vulnerabilidades. A primeira é uma vulnerabilidade de desserialização de dados não confiáveis que pode resultar na execução remota de código (RCE). Ele é rastreado como CVE-2025-40551 e recebeu uma pontuação de gravidade de 9,8/10 (crítico).
A segunda é uma falha de desserialização não autenticada do AjaxProxy, que também leva ao RCE. Este é rastreado como CVE-2025-26399, também com pontuação de 9,8/10.
Baixando o código VS
Aparentemente, esses dois estão sendo aproveitados por atores de ameaças não identificados para obter acesso a redes alvo e implantar ferramentas legítimas de monitoramento e gerenciamento remoto. Huntress mencionou o Zoho ManageEngine, mas também os túneis Cloudflare e a ferramenta de resposta a incidentes cibernéticos Velociraptor.
A campanha começou em meados de janeiro e provavelmente ainda está em andamento:
“Em 7 de fevereiro de 2026, o analista SOC da Huntress, Dipo Rodipe, investigou um caso de exploração do SolarWinds Web Help Desk, no qual o ator da ameaça implantou rapidamente túneis Zoho Meetings e Cloudflare para persistência, bem como Velociraptor para meios de comando e controle”, disse Huntress.
As identidades dos agressores e das vítimas não são conhecidas neste momento e não sabemos qual foi o objetivo dos ataques. A Huntress enfatizou que os criminosos usaram seu acesso para desabilitar quaisquer programas de segurança em execução na infraestrutura alvo, em preparação para a implantação de programas adicionais malware.
“Aproximadamente um segundo depois de desativar o Defender, o agente da ameaça baixou uma nova cópia do binário do VS Code”, disseram os pesquisadores.
Em um relatório separado, Microsoft também enfatizou que observou o SolarWinds Web Help Desk sendo abusado em ataques, mas não disse quais vulnerabilidades foram aproveitadas.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.