تستعرض هذه المقالة المخاطر المرتبطة بتطبيقات SolarWinds Web Help Desk (WHD) المعرضة للإنترنت، وتسلط الضوء على الثغرات التي يمكن أن يستغلها المهاجمون.
تستغل الجهات الفاعلة التهديدات الثغرات الجديدة في نظام SolarWinds Web Help Desk (WHD)، مما يبرز المخاطر المرتبطة بالتطبيقات المعرضة للإنترنت العام.
يعتبر SolarWinds WHD منصة لدعم تكنولوجيا المعلومات وإدارة الأصول تستخدمها المؤسسات والوكالات الحكومية. وقد حذرت العديد من الشركات في الأيام الأخيرة من استغلال الثغرات في WHD، على الرغم من أنه ليس من الواضح تمامًا أي الأخطاء تتعرض للهجوم.
في الأسبوع الماضي، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة CVE-2025-40551، وهي ثغرة حرجة في تسلسل البيانات، إلى سجل الثغرات المعروفة المستغلة (KEV). تم الكشف عن CVE-2025-40551 في البداية من قبل SolarWinds في 28 يناير، جنبًا إلى جنب مع خمس ثغرات أخرى في WHD.
في منشور مدونة يوم الجمعة الماضي، قالت Microsoft إنها رصدت عمليات اختراق متعددة المراحل ضد مثيلات WHD لكنها لم تتمكن من تحديد ما إذا كانت الهجمات استغلت الثغرات الحديثة أو الثغرات القديمة مثل CVE-2025-26399، وهي ثغرة حرجة في تنفيذ التعليمات البرمجية عن بُعد تم الكشف عنها في سبتمبر 2025، والتي كانت تجاوزًا لتصحيح ثغرة سابقة، تم تتبعها كـ CVE-2024-28988، والتي كانت بدورها تجاوزًا لتصحيح ثغرة أقدم.
كتب Microsoft في منشور مدونتها: “نظرًا لأن الهجمات حدثت في ديسمبر 2025 وعلى أجهزة معرضة لكل من مجموعة CVEs القديمة والجديدة في نفس الوقت، لا يمكننا تأكيد CVE المستخدم للولوج الأولي بشكل موثوق”.
ما هو واضح، مع ذلك، هو أن بعض المنظمات قد عرضت مثيلات WHD الخاصة بها على الإنترنت العام، مما جعلها أهدافًا رئيسية للمهاجمين.
WHDs المعرضة للجمهور في خطر أكبر
في الهجمات التي رصدها فريق أبحاث Microsoft Defender، استخدم المهاجمون تقنيات العيش على الأرض (LotL) وأدوات إدارية مشروعة مثل Zoho ManageEngine للتحرك عبر شبكات الضحايا لاستهداف الأصول ذات القيمة العالية. لكن عمليات الاختراق بدأت بمثيلات WHD المعرضة للإنترنت، مما منح المهاجمين موطئ قدم أولي في الشبكة.
كتب Microsoft: “يعكس هذا النشاط نمطًا شائعًا ولكنه ذو تأثير كبير: يمكن لتطبيق معزول واحد أن يوفر طريقًا للتعويض الكامل عن المجال عندما تكون الثغرات غير مصححة أو غير مراقبة بشكل كافٍ”.
بعد أن استغل المهاجمون الثغرات بنجاح، “أنتجت الخدمة المخترقة لمثيل WHD PowerShell لاستغلال BITS [خدمة النقل الذكي في الخلفية] لتنزيل وتنفيذ الحمولة”، وفقًا لمنشور المدونة.
رصدت Huntress نشاطًا مشابهًا يستهدف مثيلات WHD. في منشور مدونة يوم الأحد، لاحظ باحثو Huntress أنه في اختراق 7 فبراير، “نشر المهاجمون بسرعة Zoho Meetings وأنفاق Cloudflare للاستمرارية” بعد الوصول عبر مثيل WHD.
كما نشر المهاجمون Velociraptor، وهو أداة للتفتيش الرقمي والاستجابة للحوادث (DFIR)، لأغراض القيادة والتحكم (C2). تم رصد مجموعة تهديد مرتبطة بالصين تُعرف باسم Storm-2603 في أكتوبر 2025 تستغل Velociraptor في هجمات الفدية.
حذرت Huntress من أن واجهات الإدارة الخاصة بـ WHD يجب ألا تكون متاحة للجمهور على الإنترنت. تقول آنا فام، محللة الاستجابة والصيد في Huntress ومؤلفة مشاركة في منشور المدونة، لـ Dark Reading إن مثل هذا التعرض “يقلل بشكل كبير من العائق” أمام المهاجمين ولكنه ليس شرطًا مسبقًا للاستغلال.
تقول فام: “يمكن لأي مهاجم لديه وصول إلى شبكة مثيل WHD عرضة الاستغلال استغلال نفس الثغرات”. “التعرض للإنترنت يجعل هذه المثيلات قابلة للاكتشاف على نطاق واسع ويزيل الحاجة إلى أي موطئ قدم مسبق”.
في الأسبوع الماضي، قالت مؤسسة Shadowserver في منشور على X إن عمليات المسح الخاصة بها على الإنترنت لـ CVE-2025-40551 تظهر حوالي 170 مثيلًا عرضة لـ WHD.
التخفيف من التهديدات على SolarWinds WHD
حثت Huntress المنظمات على وضع مثيلات WHD الخاصة بها خلف جدران الحماية أو الشبكات الافتراضية الخاصة (VPN) وإزالة الوصول المباشر إلى الإنترنت لمسارات المسؤول. يقول جون هاملتون، الباحث الأمني الرئيسي في Huntress ومؤلف مشارك في منشور المدونة، إنه على الرغم من أن المهاجمين يمكنهم استغلال الثغرات مع الوصول المحلي إلى المثيلات، فإن التعرض العام يجعل التطبيق هدفًا لهجمات “الصيد والرش” من قبل المهاجمين الذين يسعون للحصول على وصول أولي.
بالإضافة إلى ذلك، يجب على العملاء تحديث مثيلات WHD الخاصة بهم إلى الإصدار 2026.1 أو أحدث، ومراجعة المضيفين لأي أدوات وصول عن بُعد غير مصرح بها مثل Zoho Assist وVelociraptor.
كما أوصت Microsoft بأن تقوم المنظمات بإخراج أي أدوات مراقبة وإدارة عن بُعد (RMM) من الشبكة مثل Zoho ManageEngine، بالإضافة إلى تدوير بيانات اعتماد خدمة WHD وحسابات المسؤول وأي حسابات يمكن الوصول إليها من خلال المنصة.
من المهم أن تتخذ المنظمات التدابير اللازمة لحماية مثيلات WHD الخاصة بها من التهديدات المتزايدة، بما في ذلك تحديث الأنظمة وإزالة الوصول غير المصرح به.
