أصدرت شركة SolarWinds تحديثات أمنية لإصلاح عدة ثغرات خطيرة في منصة Web Help Desk، من بينها أربع ثغرات حرجة يمكن أن تؤدي إلى تجاوز آليات المصادقة وتنفيذ أوامر عن بُعد (RCE) دون الحاجة إلى تسجيل دخول. هذه الثغرات تُعد من أخطر أنواع الهجمات لأنها تمنح المهاجم سيطرة كاملة على النظام المستهدف.
قائمة الثغرات المكتشفة
- CVE-2025-40536 (درجة خطورة 8.1): ثغرة تجاوز ضوابط أمنية تسمح بالوصول إلى وظائف مقيدة دون مصادقة.
- CVE-2025-40537 (درجة خطورة 7.5): ثغرة كلمات مرور ثابتة تسمح بالوصول إلى وظائف إدارية عبر حساب “client”.
- CVE-2025-40551 (درجة خطورة 9.8): ثغرة إلغاء تسلسل بيانات غير موثوقة تؤدي إلى تنفيذ أوامر عن بُعد دون مصادقة.
- CVE-2025-40552 (درجة خطورة 9.8): ثغرة تجاوز المصادقة تسمح بتنفيذ إجراءات وطرق داخل النظام.
- CVE-2025-40553 (درجة خطورة 9.8): ثغرة إلغاء تسلسل بيانات غير موثوقة تؤدي إلى تنفيذ أوامر عن بُعد.
- CVE-2025-40554 (درجة خطورة 9.8): ثغرة تجاوز المصادقة تسمح باستدعاء إجراءات محددة داخل Web Help Desk.
خطورة الثغرات
بحسب شركة Rapid7، فإن ثغرات إلغاء التسلسل (CVE-2025-40551 و CVE-2025-40553) تُعد من أكثر الثغرات خطورة لأنها تمنح المهاجمين غير المصادقين القدرة على تنفيذ أوامر نظام التشغيل مباشرة. كما أن ثغرات تجاوز المصادقة (CVE-2025-40552 و CVE-2025-40554) يمكن استغلالها للحصول على نفس التأثير، مما يضاعف حجم المخاطر.
خلفية أمنية
- الباحث Jimi Sebree من Horizon3.ai اكتشف وأبلغ عن أول ثلاث ثغرات.
- الباحث Piotr Bazydlo من watchTowr اكتشف الثلاثة الأخرى.
- جميع الثغرات تم إصلاحها في الإصدار WHD 2026.1.
من الجدير بالذكر أن SolarWinds واجهت في السنوات الأخيرة عدة ثغرات مشابهة في Web Help Desk، مثل CVE-2024-28986 وCVE-2024-28987، والتي أدرجتها وكالة الأمن السيبراني الأمريكية (CISA) ضمن قائمة الثغرات المستغلة فعلياً.
كيفية الاستغلال
أوضح Sebree أن ثغرة CVE-2025-40551 تنبع من وظيفة AjaxProxy، حيث يمكن للمهاجم:
- إنشاء جلسة صالحة واستخراج القيم الأساسية.
- إنشاء مكون LoginPref وتغيير حالته للسماح بالوصول إلى رفع الملفات.
- استخدام جسر JSONRPC لإنشاء كائنات Java خبيثة.
- تفعيل هذه الكائنات لتنفيذ أوامر عن بُعد.
توصيات عاجلة
نظراً لأن ثغرات Web Help Desk استُغلت سابقاً في هجمات فعلية، فإن على المؤسسات تحديث منصاتها فوراً إلى الإصدار الأخير لتجنب أي استغلال محتمل، خاصة أن هذه الثغرات تمنح المهاجمين وصولاً كاملاً دون الحاجة إلى بيانات اعتماد.
