Aanvallers hebben in december aanvallen uitgevoerd tegen SolarWinds Help Desk-installaties, zo meldt Microsoft. Welke kwetsbaarheden de aanvallers daarbij gebruikten is volgens het techbedrijf onduidelijk, maar het zou kunnen gaan om beveiligingslekken waar op het moment van de aanval nog geen updates voor beschikbaar waren. Via de gehackte omgeving wisten de aanvallers zich lateraal te bewegen naar andere systemen binnen de getroffen organisatie.

SolarWinds Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen zodat die gemelde problemen kunnen oplossen. Eind januari waarschuwde SolarWinds voor meerdere kritieke kwetsbaarheden in Web Help Desk, waaronder CVE-2025-40551 en CVE-2025-40536. Op 3 februari meldde het Amerikaanse cyberagentschap CISA dat aanvallers actief misbruik van CVE-2025-40551 maken. Het beveiligingslek maakt remote code execution door een ongeauthenticeerde aanvaller mogelijk.

Microsoft stelt dat het in december verschillende aanvallen tegen SolarWinds Help Desk-installaties heeft waargenomen. Welke kwetsbaarheden daarbij werden gebruikt is onduidelijk. De installaties bleken meerdere kwetsbaarheden te bevatten, waaronder één beveiligingslek waarvoor op 17 september vorig jaar een patch was verschenen. Ook dit lek (CVE-2025-26399) maakt remote code execution mogelijk. De betreffende organisatie of organisaties hadden de update echter niet geïnstalleerd. Daarnaast waren deze systemen ook kwetsbaar voor CVE-2025-40551. Het onderzoek naar de gebruikte kwetsbaarheid of kwetsbaarheden is nog gaande, aldus Microsoft.

Op de gecompromitteerde SolarWinds-systemen installeerden de aanvallers Zoho ManageEngine, een legitieme remote monitoring en management (RMM) oplossing, waarmee de aanvallers het systeem op afstand konden bedienen. Daarnaast werd reverse SSH- en RDP-toegang door de aanvallers ingeschakeld en enumereerden ze belangrijke domain gebruikers en groepen, waaronder domain admins. Op sommige systemen werd ook een QEMU virtual machine geïnstalleerd. De aanvallers probeerden uiteindelijk zich lateraal naar andere systemen binnen de organisatie te bewegen.

Hoewel een update voor CVE-2025-40551 sinds 28 januari beschikbaar is, waren er gisteren nog meer dan 150 kwetsbare SolarWinds Help Desk-installaties vanaf het internet toegankelijk waar de patch niet is geïnstalleerd, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. Het grootste deel daarvan bevindt zich in de Verenigde Staten.