Hơn 170 hệ thống SolarWinds Web Help Desk vẫn đang tồn tại lỗ hổng SolarWinds Web Help Desk nghiêm trọng, cho phép thực thi mã từ xa (RCE). Lỗ hổng này đã và đang bị khai thác trong thực tế, đồng thời được CISA bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của mình.
Các cài đặt công khai này tạo ra mục tiêu quan trọng cho các tác nhân đe dọa. Việc khai thác không yêu cầu xác thực và có thể thực hiện từ xa qua mạng.
Tổng quan kỹ thuật về CVE-2025-40551
Lỗ hổng này được định danh là CVE-2025-40551, với điểm CVSS 9.8 (nghiêm trọng). Nó cho phép những kẻ tấn công chưa được xác thực thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng. Cơ chế tấn công dựa trên việc xử lý dữ liệu không đáng tin cậy thông qua deserialization.
CVE-2025-40551 là một lỗ hổng insecure deserialization ảnh hưởng đến các phiên bản SolarWinds Web Help Desk trước 2026.1. Lỗ hổng này tồn tại cụ thể trong chức năng AjaxProxy của ứng dụng.
Kẻ tấn công có khả năng gửi các đối tượng Java đã được serialized được chế tạo đặc biệt đến ứng dụng. Khi ứng dụng xử lý các đối tượng này, chúng sẽ thực thi các lệnh tùy ý trên máy chủ lưu trữ bên dưới với đặc quyền của dịch vụ Web Help Desk.
Mức độ phơi nhiễm và Giám sát mối đe dọa
Shadowserver Foundation đã và đang theo dõi, báo cáo các cài đặt SolarWinds Help Desk dễ bị tấn công. Dữ liệu này được cung cấp thông qua các báo cáo Vulnerable HTTP của họ.
Theo thống kê của Shadowserver Foundation dựa trên kiểm tra phiên bản, có khoảng 170 phiên bản SolarWinds Web Help Desk được xác định là đang bị phơi nhiễm. Những hệ thống này dễ dàng bị phát hiện và trở thành mục tiêu của các cuộc tấn công.
Lỗ hổng SolarWinds Web Help Desk này đặc biệt nguy hiểm. Nó cho phép chiếm quyền kiểm soát hệ thống hoàn toàn mà không cần bất kỳ tương tác người dùng hoặc xác thực nào trước đó. Việc khai thác thành công cấp cho kẻ tấn công toàn quyền kiểm soát tính bảo mật, tính toàn vẹn và tính sẵn có của hệ thống.
Kẻ tấn công có thể thực thi các lệnh với đặc quyền của tài khoản dịch vụ Web Help Desk. Điều này mở ra khả năng cho các cuộc tấn công tiếp theo hoặc leo thang đặc quyền trong mạng.
Khai thác thực tế và cảnh báo từ CISA
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung CVE-2025-40551 vào danh mục Known Exploited Vulnerabilities (KEV) của mình vào ngày 3 tháng 2 năm 2026. Việc bổ sung này xác nhận rằng lỗ hổng đang bị khai thác tích cực trong môi trường thực tế.
Theo Chỉ thị Hoạt động Bắt buộc 22-01 (Binding Operational Directive 22-01), các cơ quan hành pháp dân sự liên bang phải khắc phục lỗ hổng này trước ngày 6 tháng 2 năm 2026. Việc được gắn nhãn KEV báo hiệu mức độ rủi ro tăng cao vượt ra ngoài môi trường liên bang, cho thấy các tác nhân đe dọa đang tích cực nhắm mục tiêu vào lỗ hổng này.
Để biết thêm chi tiết về danh mục KEV của CISA và các lỗ hổng đang bị khai thác, bạn có thể tham khảo CISA Known Exploited Vulnerabilities Catalog.
Đánh giá rủi ro bởi BitSight
BitSight đã gán cho lỗ hổng này một điểm Dynamic Vulnerability Exploit (DVE) là 9.19. Con số này phản ánh mức độ nghiêm trọng kỹ thuật cực cao cùng với khả năng khai thác đáng tin cậy. DVE là một chỉ số động, liên tục cập nhật khả năng khai thác lỗ hổng trong thực tế.
BitSight cũng nhấn mạnh rằng các tác nhân tấn công tiếp tục ưu tiên các nền tảng quản lý CNTT và dịch vụ trợ giúp (IT management and service desk platforms). Lý do là vì các nền tảng này thường có quyền truy cập đặc quyền, đóng vai trò trung tâm trong hoạt động và có khả năng tạo điều kiện cho các cuộc xâm nhập tiếp theo.
Các lỗ hổng liên quan và biện pháp khắc phục
Các nhà nghiên cứu tại Horizon3.ai đã phát hiện ra lỗ hổng SolarWinds Web Help Desk này. Họ cũng tìm thấy một số vấn đề bảo mật liên quan khác trong quá trình nghiên cứu, bao gồm thông tin xác thực tĩnh và các phương pháp vượt qua cơ chế bảo vệ bảo mật.
SolarWinds đã phát hành phiên bản 2026.1 để khắc phục CVE-2025-40551. Đồng thời, bản cập nhật này cũng giải quyết ba lỗ hổng liên quan khác, tất cả đều có điểm CVSS 9.8:
- CVE-2025-40552: Lỗ hổng bypass xác thực (authentication bypass).
- CVE-2025-40553: Lỗ hổng thực thi mã từ xa (RCE) thông qua deserialization, tương tự như CVE-2025-40551.
- CVE-2025-40554: Một lỗ hổng bypass xác thực khác (authentication bypass).
Tất cả bốn lỗ hổng này đều có điểm CVSS là 9.8 và cho phép các hình thức truy cập trái phép hoặc thực thi mã khác nhau mà không cần xác thực trước. Đây là một cảnh báo CVE nghiêm trọng mà các tổ chức cần đặc biệt lưu ý.
Khuyến nghị cập nhật bản vá bảo mật
Các tổ chức đang vận hành các phiên bản SolarWinds Web Help Desk bị ảnh hưởng cần áp dụng các bản cập nhật do nhà cung cấp cung cấp ngay lập tức. Cần thực hiện cập nhật bản vá lên phiên bản mới nhất.
Điều này đặc biệt quan trọng vì việc sử dụng rộng rãi SolarWinds Web Help Desk và việc khai thác tích cực đã được xác nhận biến các cài đặt này thành mục tiêu hàng đầu cho các tác nhân đe dọa. Việc không cập nhật kịp thời có thể dẫn đến hệ thống bị xâm nhập nghiêm trọng và gây ra thiệt hại đáng kể.
