- Peretas mengeksploitasi kelemahan SolarWinds Web Help Desk CVE-2025-40551 dan CVE-2025-26399
- Penyerang menggunakan Zoho ManageEngine, terowongan Cloudflare, Velociraptor untuk persistensi dan kontrol
- Kampanye yang berlangsung sejak Januari, menonaktifkan alat keamanan sebelum menyebarkan malware tambahan
Mengapa menggunakan malware dan berisiko menimbulkan peringatan, padahal Anda bisa saja memasang alat yang sah dan menyalahgunakannya untuk tujuan jahat? Hal inilah yang baru-baru ini dilakukan peretas terhadap setidaknya tiga organisasi, menurut laporan baru dari peneliti keamanan siber Huntress.
Menurut peneliti, platform SolarWinds Web Help Desk (WHD) mengandung dua kerentanan. Yang pertama adalah kerentanan deserialisasi data tidak tepercaya yang dapat mengakibatkan eksekusi kode jarak jauh (RCE). Penyakit ini dilacak sebagai CVE-2025-40551 dan diberi skor tingkat keparahan 9,8/10 (kritis).
Yang kedua adalah cacat deserialisasi AjaxProxy yang tidak diautentikasi, yang juga menyebabkan RCE. Yang ini dilacak sebagai CVE-2025-26399, juga dengan skor 9,8/10.
Mengunduh Kode VS
Kedua hal ini tampaknya dimanfaatkan oleh pelaku ancaman yang tidak dikenal untuk mendapatkan akses ke jaringan target dan menggunakan alat pemantauan dan manajemen jarak jauh yang sah. Huntress menyebutkan Zoho ManageEngine, serta terowongan Cloudflare dan alat respons insiden cyber Velociraptor.
Kampanye ini dimulai pada pertengahan Januari dan kemungkinan besar masih berlangsung:
“Pada tanggal 7 Februari 2026, analis SOC Huntress Dipo Rodipe menyelidiki kasus eksploitasi SolarWinds Web Help Desk, di mana pelaku ancaman dengan cepat menyebarkan Zoho Meetings dan terowongan Cloudflare untuk persistensi, serta Velociraptor untuk sarana komando dan kontrol,” kata Huntress.
Identitas penyerang dan korban belum diketahui saat ini, dan kami tidak mengetahui apa tujuan serangan tersebut. Huntress menekankan bahwa para penjahat menggunakan akses mereka untuk menonaktifkan program keamanan apa pun yang berjalan pada infrastruktur target, sebagai persiapan untuk mengerahkan tambahan. perangkat lunak perusak.
“Sekitar satu detik setelah menonaktifkan Defender, pelaku ancaman mengunduh salinan baru biner VS Code,” kata para peneliti.
Dalam laporan terpisah, Microsoft juga menekankan bahwa pihaknya telah mengamati SolarWinds Web Help Desk disalahgunakan dalam serangan, namun tidak disebutkan kerentanan mana yang dimanfaatkan.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
