CVE-2025-26399

چکیده

آسیب‌پذیری بحرانی سریال زدایی داده های غیرقابل اعتماد در SolarWinds Web Help Desk کامپوننت AjaxProxy شناسایی شده است. این ضعف به مهاجم اجازه می‌دهد بدون نیاز به احراز هویت، کد دلخواه (RCE) را روی سرور اجرا کند و در نتیجه کنترل کامل سیستم میزبان را به‌دست آورد.

توضیحات

آسیب‌پذیری CVE-2025-26399 در محصول SolarWinds Web Help Desk (پلتفرم مدیریت درخواست‌های پشتیبانی و IT) ناشی از سریال‌زدایی داده‌های غیرقابل‌اعتماد است و مطابق با CWE‑502 طبقه‌بندی می‌شود. این ضعف در کامپوننت AjaxProxy (یک پروکسی داخلی برای مدیریت درخواست‌های AJAX در برنامه وب) رخ می‌دهد و به‌عنوان patch bypass (دور زدن پچ) آسیب‌پذیری‌های قبلی CVE‑2024‑28988 و CVE‑2024‑28986 شناخته شده است. در واقع، برنامه داده‌هایی که از بیرون دریافت میکند را بدون بررسی درست سریال زدایی و اجرا میکند.

این آسیب‌پذیری از راهِ دور و بدون نیاز به احراز هویت قابل بهره‌برداری بوده و در صورت موفقیت مهاجم می‌تواند کد دلخواه را با سطح دسترسی میزبان اجرا کند (RCE). به عبارتی، مهاجم با اسکریپت‌های خودکار یا ابزارهای شناخته‌شده تولید پیلودهای سریال‌زدایی (مثلاً ysoserial) و فریم‌ورک‌هایی مانند Metasploit می‌تواند پیلودهای مخرب را به سرور تزریق کند و کنترل کامل سیستم را به‌دست آورد (مثلاً ایجاد کاربر، نصب بدافزار، پاک‌کردن یا سرقت داده‌ها). این حمله مبتنی بر ماشین مجازی جاوا (Java Runtime) و کتابخانه‌های سریال‌زدایی و اتصال پایگاه‌داده موجود در بسته WHD است؛ در Hotfix شرکت، برخی از این کتابخانه‌ها (مثلاً حذف یا جایگزینی c3p0.jar و افزودن HikariCP.jar) جایگزین یا به‌روزرسانی شده‌اند.

پیامدهای این آسیب‌پذیری شامل تأثیر بالا بر محرمانگی با افشای داده‌های حساس، یکپارچگی با تغییر داده‌ها و در دسترس‌پذیری با اختلال کامل سیستم است. این ضعف در Web Help Desk نسخه 12.8.7 و تمامی نسخه‌های قبل از آن وجود دارد و توسط SolarWinds در 12.8.7 Hotfix 1 (HF1) پَچ شده است. Hotfix از طریق SolarWinds Customer Portal توزیع می‌شود؛ پس از نصب HF1 لازم است سرویس WHD راه اندازی مجدد (restart) شود و فایل‌های JAR مربوطه (مثلاً whd-core.jar, whd-web.jar, whd-persistence.jar) جایگزین شوند.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که SolarWinds Web Help Desk را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری بحرانی در SolarWinds Web Help Desk، ریسک اجرای کد از راه دور بدون احراز هویت را به‌شدت افزایش می‌دهد و می‌تواند منجر به نفوذ کامل سیستم‌های مدیریتی IT شود. با توجه به انتشار هات‌فیکس رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های Web Help Desk را به نسخه 12.8.7 Hotfix 1 به روزرسانی کنید؛ طبق راهنمای SolarWinds ابتدا jar را حذف کرده، سپس فایل‌های whd-core.jar، whd-web.jar و whd-persistence.jar را با نسخه‌های هات‌فیکس جایگزین کنید و HikariCP.jar را اضافه نمایید. قبل از نصب، از فایل‌ها و پایگاه داده نسخه پشتیبان (backup) تهیه کنید، پس از نصب سرویس را راه اندازی مجدد کرده و صحت جایگزینی JARها را بررسی نمایید.
• ایزوله‌سازی شبکه و محدودسازی دسترسی: سرور WHD را در شبکه‌ای ایزوله (مثلاً DMZ یا VLAN جداگانه) قرار دهید و دسترسی مدیریتی را فقط از طریق VPN یا فهرست آدرس‌های مجاز (IP‑whitelisting) کنترل کنید. در صورتی که امکان نصب فوری HF1 وجود ندارد، دسترسی شبکه‌ای را به‌طور موقت قطع یا محدود کنید.
• نظارت و تشخیص ترافیک مخرب: از سامانه‌های تشخیص یا جلوگیری نفوذ (IDS/IPS) مانند Snort یا Suricata برای شناسایی الگوهای مرتبط با پیلودهای سریال‌زدایی جاوا (مثلاً الگوهای تولید‌شده توسط ysoserial) استفاده کنید. لاگ‌های مربوط به AjaxProxy را به‌صورت متمرکز (مثلاً با ELK Stack) جمع‌آوری و تحلیل کنید تا عملکردهای مشکوک سریعاً شناسایی شوند.
• تقویت پیکربندی جاوا و کتابخانه‌ها: در صورت امکان JVM را به‌روزرسانی کرده و از مکانیزم‌های محدودکننده سریال‌زدایی (مثلاً فعال‌سازی سیاست‌های whitelist برای کلاس‌های مجاز) و ابزارهای امنیتی جاوا مانند Java Security Manager یا ابزارهای معادل استفاده کنید. کتابخانه‌های آسیب‌پذیر را به‌روزرسانی یا جایگزین نمایید.
• فیلتر و کنترل در لایه اپلیکیشن: دسترسی به کامپوننت AjaxProxy را با فایروال‌ها و WAF (مثلاً ModSecurity) محدود و درخواست‌های مشکوک را مسدود کنید. قواعدی برای فیلتر کردن پیلودهای غیرعادی و درخواست‌های حاوی آبجکت های سریال‌سازی‌شده تعریف نمایید.
• تست‌های نفوذ و ارزیابی دوره‌ای: سناریوهای RCE مبتنی بر سریال‌زدایی را در محیط ایزوله با ابزارهایی مانند ysoserial یا Burp Suite شبیه‌سازی کرده تا اثربخشی پچ و تنظیمات دفاعی را تأیید کنید.
• نظارت بر پچ‌ها: به‌طور منظم Customer Portal SolarWinds را برای هات‌فیکس‌های جدید و اطلاعیه های بعدی بررسی کنید و سیاست EOL (End-of-Life) را رعایت نمایید.
• آموزش و آگاهی: تیم‌های IT را در مورد ریسک‌های سریال زدایی و اهمیت به‌روزرسانی فوری آموزش دهید.

اجرای این اقدامات، به‌ویژه نصب فوری هات‌فیکس HF1 و ایزوله‌سازی شبکه، ریسک تبدیل این ضعف بحرانی به یک نفوذ واقعی را به‌طور چشمگیری کاهش می‌دهد و امنیت زیرساخت‌های مدیریتی را تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
اندپوینتِ AjaxProxy که درخواست‌های AJAX را پردازش می‌کند به‌صورت شبکه‌ای در دسترس و بدون نیاز به احراز هویت است؛ مهاجم با ارسال درخواست‌های ساختگی حاوی آبجکت‌های سریال‌شده مخرب می‌تواند سطح حمله را باز کند — در عمل هر سرور WHD که پورت وب باز و پچ‌نشده داشته باشد، نقطه ورودی اولیه است.

Execution (TA0002)
سریال‌زداییِ بدون فیلتر در لایه جاوا منجر به اجرای کد دلخواه روی JVM می‌شود؛ payload های تولیدشده با ابزارهای شناخته‌شده مثل ysoserial میتوانند شیئی بسازند که در مسیر اجرا منجر به RCE شود.

Credential Access (TA0006)
پس از اجرا، مهاجم می‌تواند فایل‌های پیکربندی، فایل‌های properties شامل رشته اتصال دیتابیس یا فایل‌های ذخیره‌ساز credential را بخواند و از آن‌ها برای استخراج credential های سرویس‌ها (DB, LDAP, SMTP) استفاده کند

Discovery (TA0007)
مهاجم به سرعت سرویس‌ها و پیکربندی‌های محلی را شناسایی می‌کند: لیست سرویس‌ها، نسخه‌های کتابخانه‌های JAR، ساختار دایرکتوری، کانال‌های خروجی شبکه و اتصال به دیتابیس؛ فراخوانی اندپوینت‌های مدیریتی و خواندن پاسخ‌های سرویس جهت بدست‌آوردن topology و وابستگی‌های اپلیکیشن متداول است.

Privilege Escalation (TA0004)
اجرای کد روی JVM معمولاً با مجوزهای فرایند اپلیکیشن انجام می‌شود؛ اگر سرویس با دسترسی‌های بالا مثلاً کاربر root یا admin سیستم اجرا شده باشد، مهاجم فوراً به سطح دسترسی میزبان ارتقاء می‌یابد

Collection (TA0009)
بعد از نفوذ، مهاجم فایل‌های لاگ، بک‌آپ‌های محلی، فایل‌های پیکربندی، دیتابیس‌های محلی و اسکریپت‌های deployment را جمع‌آوری می‌کند تا اطلاعات حساس، توکن‌ها و اسناد محرمانه را استخراج کند

Exfiltration (TA0010)
داده‌ها معمولاً از طریق کانال‌های HTTP/S خروجی یا کانال‌های تونل‌شده مثلاً اتصال معکوس به سرور C2 خارج می‌شوند؛ مهاجم ممکن است داده را به‌صورت رمزگذاری‌شده یا تکه‌تکه (slow exfil) منتقل کند تا از تشخیص جلوگیری کند.

Defense Evasion (TA0005)
مهاجم می‌تواند لاگ‌ها را پاک یا تغییر دهد، کلاس‌ها /JARهای مخرب را به‌صورت موقتی لود کند، یا payload را به‌صورت in-memory اجرا کند تا امضاهای AV/IDS را دور بزند؛ همچنین تغییر در timestamp فایل‌ها و حذف آثار اجرای دستورات برای پنهان‌سازی فعالیت شایع است.

Lateral Movement (TA0008)
با دسترسی به credentialهای استخراج‌شده یا با استفاده از دسترسی مستقیم به شبکه، مهاجم می‌تواند به سرورهای مدیریتی، دیتابیس‌ها یا دیگر سامانه‌های IT حرکت کند

Impact (TA0040)
بهره‌برداری موفق منجر به اجرای کد از راه دور با کنترل کامل میزبان می‌شود که می‌تواند محرمانگی، یکپارچگی و در دسترس‌پذیری سرویس WHD و شبکه مدیریت IT را به‌کلی مختل کند؛ پیامدها شامل سرقت داده، ایجاد persistence، گردش به‌عنوان نقطه ورود برای حملات گسترده‌تر و اختلال در عملیات پاسخگویی IT می‌باشد.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-26399
2. https://www.cvedetails.com/cve/CVE-2025-26399/
3. https://www.solarwinds.com/trust-center/security-advisories/CVE-2025-26399
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-26399
5. https://vuldb.com/?id.325586
6. https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-7-hotfix-1_release_notes.htm
7. https://nvd.nist.gov/vuln/detail/CVE-2025-26399
8. https://cwe.mitre.org/data/definitions/502.html