Jetzt patchen! Abermals Attacken auf SolarWinds Web Help Desk beobachtet

Zum wiederholten Male haben es Angreifer auf Systeme mit der Ticketing-Software SolarWinds Web Help Desk (WHD) abgesehen. Nach erfolgreichen Attacken ist davon auszugehen, dass PCs vollständig kompromittiert sind. Sicherheitspatches stehen zum Download bereit.

Hintergründe

Erst kürzlich warnte die US-Sicherheitsbehörde CISA vor Attacken auf eine „kritische“ Schadcode-Lücke (CVE-2025-40551). Nun haben Sicherheitsforscher von Huntress und Microsoft Attacken auf eine weitere Schadcode-Lücke (CVE-2025-26399 „kritisch“) dokumentiert. Diese Schwachstelle wurde bereits im September vergangenen Jahres öffentlich bekannt.

Die Lücke klafft in der AjaxProxy-Komponente und Angreifer sollen sie aus der Ferne und ohne Authentifizierung ausnutzen. Im Anschluss können sie Schadcode im Hostsystem ausführen. Nach erfolgreichen Attacken verankern sich Angreifer mit einer Hintertür in Systemen. Dafür sollen sie legitime Anwendungen wie das Remote-Monitoring-und-Management-Tool Zoho ManageEngine missbrauchen. Zusätzlich versuchen die Angreifer, den Virenscanner Defender und die Firewall unter Windows zu deaktivieren.

Admins sollten sicherstellen, dass sie mindestens die gegen diese Attacke abgesicherte SolarWinds-WHD-Ausgabe 2026.1 installiert haben. Alle vorigen Versionen sollen verwundbar sein. Weitere Informationen zum Aktualisieren von Instanzen haben die SolarWinds-Entwickler in einem Beitrag zusammengetragen.

Überdies empfehlen die Sicherheitsforscher, den Admin-Zugriff nicht öffentlich erreichbar zu machen. Geht das nicht anders, muss ein VPN-Tunnel Verbindungen schützen. Außerdem sollten Admins alle Zugangsdaten zurücksetzen.

(des)