Nachdem die US-Behörde CISA zuletzt eine kritische Schwachstelle in der SolarWinds Management Software Web Help Desk (WHD) in ihren „Known Exploited Vulnerabilities“-Katalog (KEV) aufgenommen hatte, verdichten sich die Hinweise auf eine Kampagne, die bereits am 16. Januar begann.
Nach Informationen von Huntress Security sollen dabei sowohl CVE-2025-40551 als auch CVE-2025-26399 genutzt werden. Bei letzterer handelt es sich um eine Schwachstelle in der AjaxProxy-Komponente, die aus der Ferne und ohne Authentifizierung ausgenutzt werden kann und die anschließende Ausführung von Schadcode ermöglicht. Im Anschluss setzen Angreifer häufig auf legitime Tools zur Tarnung. In beobachteten Fällen wurde die Remote-Management-Software Zoho zusammen mit Cloudflare-Tunneln für Persistenz sowie das DFIR-Tool Velociraptor für command and control (C2) nachgeladen.
Administratoren wird empfohlen, WHD umgehend zu patchen, öffentlichen Internetzugang zu den Admin-Schnittstellen zu entfernen und Anmeldedaten zurückzusetzen.
Was jetzt zu tun ist:
- Umgehend patchen
- Öffentlichen Zugang beschränken
- Passwörter ändern
- auf mögliche Kompromittierung prüfen
Unsere Empfehlung
Die Meldung ist kritisch, weil zwei SolarWinds‑WHD‑Schwachstellen (CVE‑2025‑40551 & CVE‑2025‑26399) aktiv in realen Angriffskampagnen ausgenutzt werden. Beide ermöglichen unauthentifizierte Remote‑Code‑Ausführung – Angreifer können also Systeme vollständig übernehmen, ohne Zugangsdaten zu benötigen.
Unsere Cyber Threat Intelligence Service analysiert neueste Cyber Attacken und stellt Angriffstechniken und Angriffsmuster mit evidenzbasierten Informationen geordnet zur Verfügung. Zugeschnitten auf Ihre IT-Infrastruktur. Diese IOCs können anschließend im Security Monitoring genutzt werden, um mögliche Angriff zu erkennen. Unsere Incident Responder entwickeln mit Ihnen die notwendigen Maßnahmen.So sind Sie den Angreifern immer einen Schritt voraus.
Autor: Michael Niers
