SolarWinds WHD در معرض نفوذ: سوءاستفاده احتمالی از آسیب‌پذیری‌های روز صفر در دسامبر 2025

نسخه‌های آسیب‌پذیر SolarWinds Web Help Desk (WHD) در دسامبر 2025 برای دسترسی اولیه به سیستم‌ها مورد سوءاستفاده قرار گرفتند.

طبق گزارش مایکروسافت، مهاجمان از آسیب‌پذیری‌های وصله‌شده اخیر به عنوان روز صفر(Zero-Day)  استفاده کرده و با اجرای PowerShell توانستند پیلودهای اضافی مرحله بعدی را دانلود و اجرا کنند.

با این حال، مایکروسافت تأکید می‌کند که هنوز نمی‌توان به‌طور قطعی مشخص کرد که مهاجمان از آسیب‌پذیری‌های جدید استفاده کرده‌اند یا نسخه‌های پیشین شناخته‌شده که قبلاً در محیط‌های واقعی مورد سوءاستفاده قرار گرفته بودند.

آسیب‌پذیری‌های کلیدی و نحوه سوءاستفاده

نسخه‌های WHD SolarWinds که هدف حملات قرار گرفتند، هم‌زمان تحت تأثیر چند آسیب‌پذیری بوده و برخی از آن‌ها به‌تازگی وصله شده بودند:

• CVE‑2025‑40551 و CVE‑2025‑40536: این دو آسیب‌پذیری در ژانویه 2026 توسط SolarWinds وصله شدند. هر دو نقص به مکانیزم AjaxProxy در WHD مرتبط هستند و امکان اجرای کد از راه دور (RCE) را فراهم می‌کنند.
• CVE‑2025‑26399: یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت (Unauthenticated RCE) است که در سپتامبر 2025 وصله شده و ناشی از ضعف در فرآیند سریال‌زدایی (Deserialization) در AjaxProxy می‌باشد.

آسیب‌پذیری CVE‑2025‑26399 در اصل به‌عنوان یک دور زدن وصله امنیتی (Patch Bypass) برای CVE‑2024‑28988 شناخته شد؛ ضعفی که خود آن نیز به‌عنوان دور زدن وصله امنیتی برای CVE‑2024‑28986 شناخته می‌شد. این زنجیره نشان‌دهنده ضعف ساختاری در پیاده‌سازی AjaxProxy در WHD SolarWinds است.

عملکرد آسیب‌پذیر AjaxProxy به مهاجمان این امکان را می‌دهد که با ارسال داده‌های غیرقابل اعتماد و بدون نیاز به احراز هویت، به اجرای کد دلخواه روی سیستم هدف دست یابند.

همچنین، CVE‑2025‑40536 یک نقص در کنترل‌های امنیتی است که به مهاجم اجازه می‌دهد نمونه‌های معتبر AjaxProxy ایجاد کند و سپس با سوءاستفاده از CVE‑2025‑40551، فرآیند اجرای کد از راه دور  (RCE)را تکمیل نماید.

مایکروسافت خاطرنشان می‌کند: «با توجه به اینکه حملات روی سیستم‌های آسیب‌پذیر رخ داده و هر دو مجموعه قدیم و جدید CVEها همزمان فعال بودند، نمی‌توان با اطمینان مشخص کرد که مهاجمان از کدام آسیب‌پذیری برای نفوذ اولیه استفاده کرده‌اند».

روش‌های نفوذ و حفظ دسترسی

مهاجمان پس از نفوذ اولیه، از ابزارهای قانونی و تکنیک‌های Living-off-the-land برای حفظ دسترسی استفاده کردند:

• استقرار ابزار RMM قانونی ManageEngine برای مدیریت و مانیتورینگ از راه دور
• ایجاد دسترسی SSH و RDP معکوس برای کنترل سیستم
• برنامه‌ریزی تسک زمان‌بندی شده برای اجرای ماشین مجازی QEMU با دسترسی System
• استفاده از محیط مجازی برای پنهان کردن فعالیت‌ها و اجرای دستورات از راه دور
• بهره‌برداری از DLL Sideloading (بارگذاری مخرب DLL برای دور زدن امنیت سیستم) برای دسترسی به حافظه LSASS و سرقت اعتبارنامه‌ها
• اجرای حمله DCSync با استفاده از اعتبارنامه‌های سطح بالا

این حملات نشان می‌دهد که یک برنامه تحت وب آسیب‌پذیر و در دسترس می‌تواند مسیر دسترسی کامل به دامنه سازمانی را ایجاد کند.

توصیه‌های امنیتی فوری

سازمان‌ها باید فوراً اقدامات زیر را انجام دهند تا ریسک نفوذ کاهش یابد:

• وصله کردن (Patch) تمامی نمونه‌های WHD SolarWinds علیه آسیب‌پذیری‌های شناخته‌شده
• حذف هرگونه برنامه RMM غیرمجاز
• تغییر اعتبارنامه‌ها و کلیدهای دسترسی
• ایزوله کردن میزبان‌های آلوده

مایکروسافت تأکید می‌کند:«این حمله نمونه‌ای از یک الگوی رایج اما با تأثیر بالا است. یک برنامه آسیب‌پذیر و در دسترس می‌تواند مسیر دسترسی کامل به کل دامنه سازمانی را فراهم کند، به‌ویژه زمانی که آسیب‌پذیری‌ها وصله نشده یا به‌درستی نظارت نشوند. در این نفوذ، مهاجمان عمدتاً به تکنیک‌های Living-off-the-Land، ابزارهای مدیریتی قانونی و روش‌های ماندگاری پنهان متکی بودند.»

منابع: