L’analyse d’incidents réels révèle que les attaquants enchaînent plusieurs failles pour compromettre l’application de billetterie et de support.
SolarWinds Web Help Desk (WHD) est attaqué, avec des incidents récents exploitant une chaîne de vulnérabilités zero-day et corrigées remontant à fin 2025, a révélé une analyse des rapports clients de la société de sécurité Huntress.
Jusqu’à présent, il était difficile de savoir quelle combinaison de vulnérabilités WHD récentes était à l’origine d’une série de compromissions de systèmes clients découvertes pour la première fois en décembre.
Le 28 janvier, SolarWinds a publié un avis mentionnant six CVE classés « critiques » ou « élevés ». Il s’agit notamment de deux zero-days avec un score CVSS de 9,8 : CVE-2025-40551, une faille de désérialisation permettant l’exécution de code à distance (RCE), et CVE-2025-40536, un contournement d’authentification.
Même l’équipe de recherche Microsoft Defender, qui a détecté les attaques WHD sur ses clients avant Noël, ne savait pas exactement quelle combinaison avait permis aux attaquants d’entrer : « Puisque les attaques ont eu lieu en décembre 2025 et sur des machines vulnérables à la fois à l’ancien et au nouveau jeu de CVE, nous ne pouvons pas confirmer de manière fiable le CVE exact utilisé pour prendre pied initialement », ont écrit les chercheurs de Microsoft le 6 février.
Cependant, ces derniers jours, Huntress a confirmé ce qui a toujours été l’explication la plus probable : les attaquants avaient ciblé trois de ses clients en enchaînant les deux failles ci-dessus en combinaison avec une ancienne vulnérabilité de désérialisation RCE, la CVE-2025-26399, classée critique, rendue publique en septembre dernier.
Une fois les systèmes compromis, les attaques détectées par Huntress ont utilisé un mélange de techniques pour creuser plus profondément tout en se cachant, notamment le déploiement de l’outil médico-légal open source Velociraptor en tant que connexion C2 soutenue par un tunnel sortant Cloudflared crypté.
Correctif urgent
Étant donné que SolarWinds estime que sa plateforme de gestion de services et de billetterie WHD est utilisée par 300 000 clients, il n’est pas surprenant que les cybercriminels profitent de n’importe quelle occasion pour la cibler.
WHD est construit comme une application basée sur Java qui s’exécute dans Apache Tomcat. Les vulnérabilités de désérialisation sont particulièrement dangereuses dans ce contexte car elles permettent à un attaquant d’envoyer un objet Java sérialisé malveillant dans une requête, que WHD désérialise automatiquement sans authentification. À ce stade, les attaquants peuvent exécuter du code à distance.
« Toutes les versions précédentes de SolarWinds Web Help Desk antérieures à 12.8.7 HF1 sont vulnérables à ces vulnérabilités », a déclaré Huntress.
C’est simple à retenir : corrigez l’application SolarWinds WHD de toute urgence. Cela inclut les clients qui n’ont pas mis à jour le correctif CVE-2025-26399 de septembre 2025, également utilisé dans le cadre des récentes attaques.
Cela nécessite une mise à niveau vers WHD 2026.1 tout en prêtant attention aux mises en garde formulées par SolarWinds dans ses notes de version. Toutes les instances de Velociraptor, Cloudflared ou Zoho Assist (également utilisées dans les campagnes) doivent être considérées comme suspectes, ainsi que les installations MSI « silencieuses » générées par WHD.
Huntress recommande également de placer WHD derrière un VPN ou un pare-feu et de réinitialiser tous les mots de passe de service ou de compte administrateur, ainsi que toutes les informations d’identification stockées dans WHD lui-même.
