SolarWinds, Web Help Desk (WHD) yazılımında kritik önem taşıyan altı güvenlik açığını kapatan yeni bir güncelleme yayımladı. Bu zafiyetler arasında kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) ve yetki atlatmaya olanak tanıyan ciddi açıklıklar bulunuyor. WHD, dünya genelinde birçok kurumun BT hizmet yönetimi için tercih ettiği bir platform olduğundan, bu güvenlik açıkları geniş çapta risk teşkil ediyor.
Hangi Güvenlik Açıkları Giderildi?
Yayınlanan yamalarla kapatılan başlıca zafiyetler şunlar:
- CVE-2025-40551 ve CVE-2025-40553: Kimlik doğrulaması olmadan kötü niyetli aktörlerin hedef sistemde komut çalıştırmasına izin veren kritik güvenilmeyen veri serileştirme açıkları. Bu tür RCE zafiyetleri, saldırganların sistem üzerinde tam kontrol elde etmesine yol açabilir.
- CVE-2025-40552 ve CVE-2025-40554: Kimlik doğrulama atlatma açıkları olup, RCE elde etmek için de kullanılabilir. Bu açıklıklar, yetkisiz kullanıcıların sistemde eylem ve yöntem çağırmasına imkan tanıyor.
- CVE-2025-40536: Kimlik doğrulaması yapılmamış saldırganların belirli kısıtlı işlevlere erişmesini sağlayan güvenlik kontrolü atlatma açığı.
- CVE-2025-40537: Sabit kodlanmış “client” kullanıcı hesabı kimlik bilgisi nedeniyle yönetici işlevlerine erişim sağlanabilen bir zafiyet.
Saldırı Zinciri ve Teknik Detaylar
Özellikle CVE-2025-40551, AjaxProxy bileşenindeki serileştirme açığından kaynaklanıyor. Saldırganın izlemesi gereken adımlar:
- Geçerli bir oturum oluşturup anahtar değerleri ele geçirmek,
- Bir LoginPref bileşeni oluşturmak,
- LoginPref bileşeninin durumunu dosya yüklemeye erişim için ayarlamak,
- JSONRPC köprüsünü kullanarak sahte Java nesneleri oluşturmak,
- Bu sahte nesneleri tetikleyerek hedef sistemde komut çalıştırmak.
Bu teknik, kimlik doğrulaması gerektirmediği için saldırganlar tarafından kolayca sömürülebilir. Rapid7 gibi güvenlik araştırmacıları, serileştirme yoluyla RCE’nin saldırganlar için oldukça güvenilir bir vektör olduğunu vurguluyor.
Geçmişteki İstismarlar ve Önemi
SolarWinds Web Help Desk, geçmişte de birçok kritik açığı barındırıyordu. Örneğin, CVE-2024-28986 ve CVE-2024-28987 gibi zafiyetler ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından Bilinen Sömürülmüş Açıklar (KEV) listesine alınmıştı. Bu durum, WHD’nin hedef alınan bir platform olduğunu gösteriyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- WHD 2026.1 sürümüne hızlıca yükseltme yapın ve yamaları uygulayın.
- EDR ve SIEM çözümlerinizde CVE-2025-40551 ve benzeri serileştirme saldırılarına karşı kural ve uyarılar oluşturun.
- Yetkisiz erişim ve kimlik doğrulama atlatma girişimlerini tespit etmek için oturum ve erişim loglarını düzenli izleyin.
- Ağ segmentasyonu ile kritik BT yönetim sistemlerini izole edin.
- Çok faktörlü kimlik doğrulama (MFA) ve IAM politikalarını güçlendirin.
- Olay müdahale (incident response) planlarınızı bu tür RCE ve yetki atlatma senaryolarını içerecek şekilde güncelleyin.
- Web Help Desk uygulamasının erişim ve API çağrılarını sınırlandırarak saldırı yüzeyini azaltın.
- Güvenlik açıklarının erken tespiti için düzenli güvenlik taramaları ve penetrasyon testleri yapın.
Teknik Özet
- Kullanılan zafiyetler: CVE-2025-40536, CVE-2025-40537, CVE-2025-40551, CVE-2025-40552, CVE-2025-40553, CVE-2025-40554
- Saldırı vektörleri: Güvenilmeyen Java nesne serileştirme, sabit kodlanmış kimlik bilgileri, kimlik doğrulama atlatma
- Hedef sektörler: Kurumsal BT hizmet yönetimi, kamu kurumları, KOBİ’ler
- Saldırı zinciri: Yetkisiz erişim → Sahte nesne oluşturma → Komut çalıştırma (RCE)
- Önerilen savunma: Güncel yamaların uygulanması, MFA, EDR kuralları, ağ segmentasyonu, log analizi
SolarWinds Web Help Desk kullanıcıları, bu kritik açıkların geçmişte kötüye kullanıldığı göz önüne alındığında, güncellemeleri gecikmeden uygulamalı ve e-posta güvenliği, ağ segmentasyonu gibi destekleyici savunma katmanlarını güçlendirmelidir. Ayrıca, fidye yazılımı saldırıları ve diğer gelişmiş tehditlere karşı hazırlıklı olmak için bulut güvenliği ve olay müdahale süreçleri de gözden geçirilmelidir.