De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag een kritieke beveiligingsfout die van invloed is op de SolarWinds Web Help Desk (WHD) toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, en markeert deze als actief misbruikt bij aanvallen.
De kwetsbaarheid, bijgehouden als CVE-2025-40551 (CVSS-score: 9,8) is een niet-vertrouwde kwetsbaarheid voor deserialisatie van gegevens die de weg zou kunnen vrijmaken voor uitvoering van code op afstand.
“SolarWinds Web Help Desk bevat een deserialisatie van niet-vertrouwde gegevenskwetsbaarheid die zou kunnen leiden tot uitvoering van code op afstand, waardoor een aanvaller opdrachten op de hostmachine zou kunnen uitvoeren”, aldus CISA. “Dit zou kunnen worden uitgebuit zonder authenticatie.”
SolarWinds heeft vorige week oplossingen voor de fout uitgebracht, samen met CVE-2025-40536 (CVSS-score: 8,1), CVE-2025-40537 (CVSS-score: 7,5), CVE-2025-40552 (CVSS-score: 9,8), CVE-2025-40553 (CVSS-score: 9,8) en CVE-2025-40554 (CVSS-score: 9,8), in WHD-versie 2026.1.
Er zijn momenteel geen openbare rapporten over de manier waarop de kwetsbaarheid wordt ingezet bij aanvallen, wie het doelwit kan zijn, of de omvang van dergelijke inspanningen. Het is het nieuwste voorbeeld van hoe snel bedreigingsactoren bezig zijn met het misbruiken van nieuw onthulde fouten.
Ook toegevoegd aan de KEV-catalogus zijn drie andere kwetsbaarheden:
- CVE-2019-19006 (CVSS-score: 9,8) – Een onjuiste authenticatiekwetsbaarheid in Sangoma FreePBX waardoor ongeautoriseerde gebruikers mogelijk de wachtwoordauthenticatie kunnen omzeilen en toegang kunnen krijgen tot services die worden aangeboden door de FreePBX-beheerder
- CVE-2025-64328 (CVSS-score: 8,6) – Een kwetsbaarheid voor opdrachtinjectie in het besturingssysteem in Sangoma FreePBX die een opdrachtinjectie na authenticatie door een geverifieerde bekende gebruiker via de functie testconnection -> check_ssh_connect() mogelijk zou kunnen maken en mogelijk externe toegang tot het systeem zou kunnen verkrijgen als een asterisk-gebruiker
- CVE-2021-39935 (CVSS-score: 7,5/6,8) – Een SSRF-kwetsbaarheid (server-side request forgery) in GitLab Community en Enterprise Editions waardoor ongeautoriseerde externe gebruikers Server Side Requests kunnen uitvoeren via de CI Lint API
Het is vermeldenswaard dat de exploitatie van CVE-2021-39935 in maart 2025 door GreyNoise werd benadrukt, als onderdeel van een gecoördineerde toename van het misbruik van SSRF-kwetsbaarheden op meerdere platforms, waaronder DotNetNuke, Zimbra Collaboration Suite, Broadcom VMware vCenter, ColumbiaSoft DocumentLocator, BerriAI LiteLLM en Ivanti Connect Secure.
Het misbruik van CVE-2019-19006 dateert daarentegen van november 2020, toen Check Point details openbaarde van een cyberfraudeoperatie met de codenaam INJ3CTOR3, waarbij gebruik werd gemaakt van de fout om VoIP-servers in gevaar te brengen en de toegang aan de hoogste bieders te verkopen. Vorige week onthulde Fortinet dat de dreigingsactor achter de activiteit CVE-2025-64328 vanaf begin december 2025 heeft bewapend om een webshell met de codenaam EncystPHP te leveren.
“In 2022 verlegde de dreigingsactor zijn focus naar het Elastix-systeem via CVE-2021-45461”, zegt beveiligingsonderzoeker Vincent Li. “Deze incidenten beginnen met de exploitatie van een FreePBX-kwetsbaarheid, gevolgd door de inzet van een PHP-webshell in de doelomgevingen.”
Eenmaal gelanceerd, probeert EncystPHP de FreePBX-databaseconfiguratie te verzamelen, persistentie in te stellen door een gebruiker op rootniveau aan te maken met de naam newfpbx, de wachtwoorden van meerdere gebruikersaccounts opnieuw in te stellen en het SSH-bestand “authorized_keys” aan te passen om toegang op afstand te garanderen. De webshell biedt ook een interactieve interface die verschillende vooraf gedefinieerde operationele opdrachten ondersteunt.
Dit omvat het inventariseren van het bestandssysteem, procesinspectie, het opvragen van actieve Asterisk-kanalen, het weergeven van Asterisk SIP-peers en het ophalen van meerdere FreePBX- en Elastix-configuratiebestanden.
“Door gebruik te maken van de administratieve contexten van Elastix en FreePBX, werkt de webshell met verhoogde rechten, waardoor willekeurige opdrachtuitvoering op de getroffen host mogelijk wordt en uitgaande oproepactiviteiten via de PBX-omgeving worden geïnitieerd”, legt Li uit.
“Omdat het kan worden geïntegreerd in legitieme FreePBX- en Elastix-componenten, kan dergelijke activiteit onmiddellijke detectie omzeilen, waardoor getroffen systemen worden blootgesteld aan bekende risico’s, waaronder persistentie op de lange termijn, ongeautoriseerde administratieve toegang en misbruik van telefoonbronnen.”
De agentschappen van de Federal Civilian Executive Branch (FCEB) zijn verplicht om CVE-2025-40551 vóór 6 februari 2026 en de rest vóór 24 februari 2026 te repareren, in overeenstemming met Binding Operational Director (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities.
