SolarWinds a publié des mises à jour de sécurité pour son Web Help Desk (WHD) qui corrigent un certain nombre de défaillances graves découvertes dans le service, y compris plusieurs vulnérabilités qui pourraient permettre d'éviter les contrôles d'authentification à exécuter le code à distance sur les serveurs affectés. Ces corrections viennent dans la version WHD 2026.1, et SolarWinds offre des détails et des correctifs dans son centre de sécurité et des notes de version ( Avis et les notes de sortie).
La gravité de l'ensemble des défaillances est élevée : plusieurs vulnérabilités sont notées avec des scores CVSS proches de 9,8, ce qui indique qu'un attaquant pourrait causer des dommages importants sans authentification préalable. En particulier, certaines des faiblesses permettent la désérialisation de données peu fiables, une technique qui dérive souvent dans l'exécution de code à distance (ERC) parce que le logiciel reconstitue des objets malveillants envoyés par l'attaquant et finit par exécuter une logique involontaire.
Des chercheurs externes ont identifié et signalé ces problèmes. Certains découvreurs viennent d'Horizon3.ai et d'autres de la société horlogère Towr ; SolarWinds reconnaît leur contribution à la résolution. Pour une analyse technique plus approfondie de l'un des échecs de la dégénérescence, l'Horizon3. Le rapport ai peut être consulté, ce qui explique comment la fonctionnalité AjaxProxy a été utilisée comme vecteur ( Analyse Horizon3.ai).
Les équipes d'intervention et les signatures de sécurité ont souligné que la combinaison d'un dépérissement dangereux et d'un accès non authentifié augmente considérablement le risque. Rapid7, par exemple, a souligné que la possibilité d'atteindre des URCE sans avoir besoin de justificatifs rend ces vulnérabilités attrayantes cibles pour les attaquants automatisés et les campagnes de masse, et considère donc l'impact comme très élevé ( Analyse rapide7).
D'un point de vue pratique, une explosion réussie décrite par les chercheurs implique la mise en place d'une session valide pour extraire certaines valeurs clés, la manipulation des composants internes du système pour permettre le chargement de fichiers et l'utilisation de ponts JSON-RPC pour créer des objets Java malveillants qui sont ensuite déclenchés pour exécuter des commandes sur le système. Cette séquence transforme une vulnérabilité apparemment logique en un moyen d'exécuter le code arbitraire sur la machine qui héberge WHD.
Il est important de mettre ces constatations en contexte : SolarWinds a déjà eu des vulnérabilités dans Web Help Desk qui ont nécessité des correctifs successifs, et dans certains cas ces échecs ont été répertoriés comme exploités dans le monde réel. En 2024, plusieurs CVE liés à la WHD ont reçu l'attention du public, et certains se sont retrouvés dans le catalogue des vulnérabilités exploitées par de vrais acteurs de la CISA ( Vulnérabilités exploitées connues). SolarWinds a également documenté les corrections antérieures et les cas de correctifs nécessitant une sauvegarde dans son propre dépôt d'avis ( exemple de préavis).
Pour les organisations et les gestionnaires, la recommandation est claire : mise à jour de WHD 2026.1 dès que possible et vérifier que les mises à jour ont été appliquées correctement. Étant donné que plusieurs vulnérabilités permettent l'exploitation sans identification, retarder le patch augmente la probabilité d'être ciblé pour des balayages automatisés ou des attaques ciblées. Si pour une raison quelconque il n'est pas possible de mettre à jour immédiatement, il est approprié de restreindre l'accès aux interfaces administratives, d'appliquer des règles de pare-feu qui limitent le trafic à l'instance WHD, et de surveiller avec des enregistrements de priorité et des signes de comportement anormal sur les terminaux et serveurs concernés.
En plus des correctifs, il est prudent de vérifier les installations afin de déterminer si une intrusion antérieure aurait pu se produire : examiner les journaux d'accès, rechercher des processus ou des fichiers inattendus et vérifier l'image et l'intégrité binaire. Les outils EDR ou les inspections en réseau peuvent aider à identifier les traces d'exploitation et les actions post-opérationnelles. Si une activité suspecte est détectée, communiquez avec le fournisseur de sécurité et envisagez d'isoler les systèmes touchés jusqu'à ce qu'une analyse médico-légale soit terminée.
Le cycle des vulnérabilités dans les produits largement déployés tels que Web Help Desk rappelle une règle de sécurité de base : la surface d'exposition et la présence de fonctions avec sérialisation dynamique ou passerelles à distance augmentent le risque si elles ne sont pas contrôlées par une validation et des restrictions strictes. Appliquer des mises à jour, minimiser l'exposition au service et la détection active sont des pratiques essentielles réduire cette surface et limiter l'impact des défaillances non découvertes.
Si vous souhaitez accéder aux sources originales et aux analyses techniques, vérifiez les notes SolarWinds et les rapports de l'équipe de recherche liés à cet article : les SolarWinds ( Conseillers en matière de sécurité), les notes de la version WHD 2026.1 ( les notes de sortie), analyse publique de Rapid7 ( Rapide7) et la recherche technique d'Horizon3.ai ( Horizon3.ai).
Bref, si votre organisation utilise SolarWinds Web Help Desk, ne le reportez pas : mise à jour de la version parché et renforce le périmètre et les défenses de détection atténuer les risques tout en mettant à jour les installations.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...