Pesquisadores da Huntress Security identificaram que hackers estão explorando vulnerabilidades no SolarWinds Web Help Desk (WHD) para implantar ferramentas legítimas com fins maliciosos, como o Zoho ManageEngine. O ataque, que afetou pelo menos três organizações, utilizou túneis do Cloudflare para persistência e a ferramenta Velociraptor para comando e controle. As vulnerabilidades exploradas, CVE-2025-40551 e CVE-2025-26399, foram classificadas como críticas e permitem execução remota de código sem autenticação. Após obter acesso inicial, os atacantes instalaram o agente Zoho ManageEngine Assist e configuraram o acesso não supervisionado. Além disso, a versão desatualizada do Velociraptor utilizada apresenta uma falha de escalonamento de privilégios. Os administradores de sistemas são aconselhados a atualizar o SolarWinds WHD para a versão 2026.1 ou superior e a remover o acesso público às interfaces administrativas. A Huntress também disponibilizou regras Sigma e indicadores de comprometimento para ajudar na detecção de atividades maliciosas relacionadas a essas ferramentas.
Fonte: https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
09/02/2026 • Risco: CRITICO
VULNERABILIDADE
Hackers exploram vulnerabilidades do SolarWinds Web Help Desk
RESUMO EXECUTIVO
As vulnerabilidades críticas no SolarWinds WHD podem permitir acesso não autorizado e comprometimento de sistemas. A exploração ativa dessas falhas requer atenção imediata dos CISOs para evitar danos significativos e garantir a conformidade regulatória.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a incidentes de segurança e recuperação de dados.
Operacional
Comprometimento de pelo menos três organizações e potencial para execução remota de código.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Saúde']
📊 INDICADORES CHAVE
Vulnerabilidades CVE-2025-40551 e CVE-2025-26399 com classificação crítica.
Indicador
Uso de Velociraptor em ataques de ransomware.
Contexto BR
Aproximadamente um segundo após desativar o Windows Defender, o atacante baixou uma nova cópia do VS Code.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há instâncias do SolarWinds WHD em uso e suas versões.
2
Atualizar o SolarWinds WHD para a versão 2026.1 ou superior e remover o acesso público às interfaces administrativas.
3
Monitorar atividades relacionadas ao Zoho Assist, Velociraptor e tentativas de instalação de software não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a exploração de vulnerabilidades críticas que podem comprometer a segurança de suas infraestruturas.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
