8 de fevereiro de 2026

CISA alerta para exploração ativa do CVE-2025-40551 no SolarWinds Web Help Desk (RCE)

8 de fevereiro de 2026

CISA confirma exploração ativa do CVE-2025-40551 no SolarWinds Web Help Desk.
Veja impacto, sinais de detecção e priorização de mitigação para reduzir risco de intrusão e ransomware.

PLUGGED NINJA — Notícias de segurança cibernética em português

Resumo: A CISA incluiu o CVE-2025-40551 (SolarWinds Web Help Desk) no catálogo KEV, citando exploração ativa.
Isso eleva a prioridade de correção para equipes que usam o help desk como ponto de entrada na rede.

Contexto

Ferramentas de help desk costumam ter alto privilégio operacional (integração com AD, e-mail, inventário e APIs). Quando um bug crítico permite remote code execution (RCE), o risco deixa de ser “apenas TI” e vira uma ponte para movimentação lateral, coleta de credenciais e implantação de ransomware.

O que aconteceu

  • A CISA adicionou o CVE-2025-40551 ao Known Exploited Vulnerabilities (KEV), indicando exploração confirmada.
  • O problema afeta o SolarWinds Web Help Desk e é descrito como uma falha crítica com potencial de execução remota de código sem autenticação.
  • Em ambientes expostos à internet (ou com acesso indevido via VPN/SSO comprometido), o sistema pode virar um “launchpad” para intrusão mais ampla.

Como funciona / impacto

Em linhas gerais, um atacante consegue acionar o vetor vulnerável para executar comandos no servidor que hospeda o Web Help Desk. A partir daí, é comum observar:

  • criação de webshell ou reverse shell para persistência;
  • dump de credenciais (service accounts) e chaves/API tokens;
  • movimentação lateral para servidores de arquivo, controladores de domínio e hypervisors;
  • exfiltração + criptografia (modelo de dupla extorsão).

O que observar (detecção)

  • Picos de erros/requests incomuns no servidor do Web Help Desk (logs de app e do proxy/WAF).
  • Processos inesperados iniciados pelo usuário do serviço (ex.: cmd, powershell, bash, curl/wget).
  • Conexões de saída anômalas a IPs/ASNs desconhecidos (C2) logo após requisições ao aplicativo.
  • Criação/modificação suspeita de arquivos no diretório da aplicação (indicativo de webshell).

Mitigação

  1. Aplicar o patch/atualização do SolarWinds Web Help Desk que corrige o CVE-2025-40551 (prioridade máxima).
  2. Se não for possível atualizar imediatamente: isolar o sistema (bloquear acesso externo, restringir por IP/VPN), e aplicar regras no WAF para reduzir superfície.
  3. Revisar credenciais e chaves associadas ao help desk (rotacionar senhas/tokens).
  4. Validar integridade do host (IaaS/VM) e checar sinais de persistência antes de “voltar ao ar”.

Fonte: Infosecurity MagazineCISA KEVCyware
Fonte da imagem: Shutterstock (via Cyware)

Tags: , , , , ,

Matérias Relacionadas

CISA alerta sobre bypass de autenticação em câmeras TP-Link VIGI (CVE-2026-0629) no recurso de recuperação de senha

7 de fevereiro de 2026

Vulnerabilidade Crítica no Kernel Linux (CVE-2024-36972) Permite Escalada de Privilégio e Escape de Contêiner

5 de fevereiro de 2025

Grave Vulnerabilidade no Veeam Updater Permite Ataques MitM com Acesso Root

5 de fevereiro de 2025

Veja mais..

PLUGGED NINJA — Notícias de segurança cibernética em português

CISA alerta para exploração ativa do CVE-2025-40551 no SolarWinds Web Help Desk (RCE)

8 de fevereiro de 2026
PLUGGED NINJA — Notícias de segurança cibernética em português

OpenClaw integra varredura do VirusTotal para barrar skills maliciosas no ClawHub

8 de fevereiro de 2026

Cyware (06/02/2026): DDoS de 31,4 Tbps, CrashFix/ModeloRAT e CVE crítico no n8n

8 de fevereiro de 2026

Hugging Face é abusado para distribuir milhares de variantes de malware Android

8 de fevereiro de 2026

Agências alemãs alertam sobre phishing no Signal mirando políticos, militares e jornalistas

8 de fevereiro de 2026