SolarWinds Web Help Desk presenta nueva vulnerabilidad CVE‑2025‑26399

SolarWinds Web Help Desk enfrenta nuevamente una vulnerabilidad crítica antigua, CVE‑2025‑26399

Tiempo estimado de lectura: 6 minutos | Dificultad técnica: Media

Conclusiones clave

• Vulnerabilidad crítica en SolarWinds Web Help Desk permite ejecución remota de código.
• Aplicar el parche WHD 12.8.7 Hotfix 1 es esencial para mitigar riesgos.
• Controlar la exposición del servicio a Internet es crucial para la seguridad.
• Implementar monitoreo continuo puede ayudar a prevenir intentos de explotación.
• Revisar logs de la aplicación para detección temprana de actividad maliciosa.

Índice

1. Descripción de la vulnerabilidad CVE‑2025‑26399
2. Detección y caza de amenazas
3. Estrategias de mitigación esenciales
4. Referencias y fuentes de seguridad

Descripción de la vulnerabilidad CVE‑2025‑26399

Se ha descubierto una grave vulnerabilidad en SolarWinds Web Help Desk (WHD) que permite a un atacante remoto no autenticado ejecutar código de forma no autorizada en el servidor (RCE) mediante el componente AjaxProxy a través de la deserialización insegura. Este problema representa un bypass de parches anteriores (CVE‑2024‑28988, que ya había eludido CVE‑2024‑28986).

La vulnerabilidad designada como CVE‑2025‑26399 se aprovecha de un fallo de deserialización de datos inseguros (CWE‑502) en el componente AjaxProxy de WHD. La base de datos NVD clasifica este fallo como una ejecución remota de código no autenticada con un nivel crítico de 9.8. En la nota de NVD, se indica claramente que se trata de un «bypass» de CVE‑2024‑28988, que anteriormente ya había eludido a CVE‑2024‑28986. Esto implica que se trata del mismo tipo de error, pero con un nuevo mecanismo de explotación.

A pesar de que en la actualidad no hay una prueba de concepto (PoC) pública, se puede anticipar que esta aparecerá en un futuro próximo si se da la exposición del sistema.

Detección y caza de amenazas

Los equipos de seguridad pueden recurrir a varios indicadores característicos que ayudan en la detección de este tipo de ataques. A nivel de red, la transmisión de objetos Java serializados deja rastros muy notables: los denominados magic bytes ( AC ED 00 05 en hexadecimal o rO0 en Base64) suelen ser los primeros valores que se registran en el «payload». También pueden identificarse cabeceras como Content-Type: application/x-java-serialized-object, así como cuerpos binarios inusualmente grandes en solicitudes dirigidas a rutas asociadas con AjaxProxy.

Configurar el WAF o el IDS para identificar estas señales puede ser determinante entre un intento frustrado y un compromiso real. Además, revisar los logs de la aplicación puede aportar pruebas adicionales. La aparición de excepciones como StreamCorruptedException o InvalidClassException, generadas por la JVM (Máquina Virtual de Java) al intentar manejar objetos serializados incorrectamente, puede ser un indicio temprano de intento de explotación o escaneo activo. Estos registros necesitan correlacionarse con accesos repetidos a endpoints de WHD que no deberían recibir este tipo de peticiones complejas.

Estrategias de mitigación esenciales

La primera acción crítica consiste en aplicar el parche oficial que soluciona esta vulnerabilidad: SolarWinds Web Help Desk 12.8.7 con Hotfix 1. Este hotfix, liberado el 23 de septiembre de 2025, no solo actualiza varias librerías internas, sino que también elimina dependencias problemáticas como c3p0.jar, incorporando alternativas más seguras como HikariCP.jar y modificando componentes del producto. La instalación de este parche debe ser la principal prioridad de cualquier organización que tenga implementado Web Help Desk en producción.

En segundo lugar, es vital eliminar cualquier exposición superflua del servicio a Internet. La consola de administración de WHD debe estar restringida a redes internas o, en su defecto, protegido tras una VPN corporativa con autenticación multifactor. El acceso directo desde Internet aumenta considerablemente las posibilidades de explotación, especialmente al tratarse de una vulnerabilidad sin necesidad de autenticación.

Además, es prudente fortalecer los controles perimetrales: establecer listas blancas de direcciones IP autorizadas, implementar un proxy inverso que filtre el tráfico y segmentar la red para que el servidor que aloja WHD se mantenga lo más aislado posible de otros sistemas críticos.

Además del parcheo y la segmentación, la vigilancia activa del tráfico y los logs es indispensable. Configurar reglas en firewalls, WAF o sistemas IDS/IPS que identifiquen patrones típicos de deserialización de Java puede ayudar a detectar intentos de explotación. Por último, tras aplicar el parche, es fundamental validar si la corrección ha sido efectiva. Esto no solo implica verificar la versión del producto, sino también examinar el directorio WEB-INF/lib para confirmar que los archivos mencionados por SolarWinds (como la ausencia de c3p0.jar y la presencia de HikariCP.jar) están correctamente ubicados. Incluir estas comprobaciones en los procedimientos habituales de auditoría y caza de amenazas proporcionará garantías adicionales de que la organización no sigue siendo vulnerable a CVE-2025-26399.

Referencias y fuentes de seguridad

• CVE-2025-26399 en NVD
• CISA – Cybersecurity & Infrastructure Security Agency
• Zero Day Initiative (ZDI)