Una nueva vulnerabilidad crítica en SolarWinds Web Help Desk (WHD) permite a un atacante remoto no autenticado ejecutar código en el servidor (RCE) a través de AjaxProxy por deserialización insegura. Es un bypass de los parches previos (CVE‑2024‑28988, que ya era bypass de CVE‑2024‑28986). SolarWinds publicó WHD 12.8.7 Hotfix 1, que corrige el problema. Prioriza el parche y evita exponer WHD a Internet.
¿Qué es esto y por qué importa?
CVE‑2025‑26399 explota un fallo de deserialización de datos no seguros (CWE‑502) dentro del componente AjaxProxy de WHD. El registro oficial en NVD lo clasifica como RCE no autenticado con una criticidad de 9.8. La nota de NVD deja claro que es un “patch bypass” de CVE‑2024‑28988, el cual a su vez ya “bypasseaba” CVE‑2024‑28986. En otras palabras: mismo tipo de bug, nueva forma de explotarlo.
En 2024, CVE‑2024‑28986 se añadió al KEV de CISA por explotación activa, y ZDI (Zero Day Initiative) publicó detalles técnicos sobre la vía de AjaxProxy para el caso CVE‑2024‑28988 (también RCE no autenticado). El nuevo CVE‑2025‑26399 es un bypass de aquello. Actualmente no existe una PoC (prueba de concepto) pública, sin embargo, es acertado pensar que aparecerá a corto plazo si hay exposición.
Detección y threat hunting
En materia de detección, los equipos de seguridad pueden apoyarse en varios indicadores característicos de este tipo de ataques. A nivel de red, el envío de objetos Java serializados deja huellas muy reconocibles: los denominados magic bytes (AC ED 00 05 en hexadecimal o rO0 en Base64) suelen aparecer al inicio del «payload«. También es común encontrar cabeceras como Content-Type: application/x-java-serialized-object o cuerpos binarios anómalamente grandes en peticiones hacia rutas asociadas a AjaxProxy. Configurar el WAF o el IDS para identificar estas señales puede marcar la diferencia entre un intento fallido y un compromiso real.
Por otro lado, la revisión de los logs de aplicación puede aportar evidencias adicionales. Excepciones como StreamCorruptedException o InvalidClassException generadas por la JVM (Máquina virtual Java) al intentar procesar objetos serializados de forma incorrecta pueden ser un indicio temprano de explotación o de escaneo activo. Estos registros deben correlacionarse con accesos repetitivos a endpoints de WHD que normalmente no recibirían este tipo de peticiones complejas.
Mitigación priorizada
La primera medida imprescindible es aplicar el parche oficial que corrige esta vulnerabilidad: SolarWinds Web Help Desk 12.8.7 con Hotfix 1. Este hotfix, liberado el 23 de septiembre de 2025, actualiza varias librerías internas, elimina dependencias problemáticas como c3p0.jar y añade otras más seguras como HikariCP.jar, además de sustituir componentes del producto. Instalarlo debería ser la máxima prioridad de cualquier organización que utilice Web Help Desk en producción.
En segundo lugar, es fundamental eliminar cualquier exposición innecesaria del servicio a Internet. La consola de administración de WHD debería estar restringida a redes internas o, en su defecto, protegida detrás de una VPN corporativa con autenticación multifactor. El acceso directo desde Internet multiplica las probabilidades de explotación, especialmente tratándose de un fallo sin autenticación previa. Adicionalmente, conviene reforzar los controles perimetrales: establecer listas blancas de direcciones IP autorizadas, desplegar un proxy inverso que filtre el tráfico y segmentar la red para que el servidor que aloja WHD quede lo más aislado posible de otros sistemas críticos.
Además del parcheo y la segmentación, la monitorización activa del tráfico y los logs es esencial. Configurar reglas en firewalls, WAF o sistemas IDS/IPS que permitan identificar patrones típicos de deserialización Java ayudará a detectar intentos de explotación.
Finalmente, tras aplicar el parche, es importante validar la efectividad de la corrección. Esto no solo implica confirmar la versión del producto, sino también inspeccionar el directorio WEB-INF/lib para asegurar que los archivos mencionados por SolarWinds (como la ausencia de c3p0.jar y la presencia de HikariCP.jar) están en su lugar. Integrar estas comprobaciones en los procesos habituales de auditoría y threat hunting aportará garantías adicionales de que la organización no sigue siendo vulnerable a CVE-2025-26399.
Más información
- NVD – CVE‑2025‑26399: https://nvd.nist.gov/vuln/detail/CVE-2025-26399
- WHD 12.8.7 hotfix 1 release notes: https://documentation.solarwinds.com/en/success_center/whd/content/release_notes/whd_12-8-7-hotfix-1_release_notes.htm
- SolarWinds Web Help Desk AjaxProxy Deserialization of Untrusted Data Remote Code Execution Vulnerability: https://www.zerodayinitiative.com/advisories/ZDI-25-407/
- CISA Adds One Known Exploited Vulnerability to Catalog: https://www.cisa.gov/news-events/alerts/2024/08/15/cisa-adds-one-known-exploited-vulnerability-catalog
- Deserialization Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
Deja una respuesta