O cenário de cibersegurança continua a evoluir de forma alarmante, e a mais recente campanha descoberta por investigadores revela uma tática astuta: a utilização de software legítimo de gestão e resposta a incidentes para realizar ataques maliciosos. Uma nova vaga de ataques está a explorar vulnerabilidades críticas no SolarWinds Web Help Desk (WHD), transformando ferramentas que deveriam proteger as empresas em armas contra elas mesmas.
Esta campanha, que terá começado em meados de janeiro e foi detetada com maior intensidade a 7 de fevereiro de 2026, destaca-se pela ironia do "toolkit" utilizado pelos atacantes.
O arsenal "legítimo" dos atacantes
Segundo a análise detalhada da Huntress, os piratas informáticos estão a comprometer sistemas para instalar o agente Zoho ManageEngine Assist e, curiosamente, o Velociraptor. Para quem não está familiarizado, o Velociraptor é uma ferramenta respeitada de análise forense digital e resposta a incidentes (DFIR), normalmente usada pelas equipas de defesa para investigar intrusões. Neste caso, porém, os papéis inverteram-se: os atacantes usam-na como um mecanismo de comando e controlo (C2).
O processo de infeção é rápido e furtivo. Após ganharem acesso inicial, os atacantes descarregam ficheiros MSI para instalar estas ferramentas. O Velociraptor, numa versão desatualizada (0.73.4) suscetível a escalada de privilégios, permite aos hackers manterem comunicação com o sistema comprometido através de "Cloudflare Workers", dificultando a deteção do tráfego malicioso.
Além disso, para garantir a persistência no sistema — ou seja, para assegurar que continuam a ter acesso mesmo que o computador seja reiniciado — os atacantes recorrem a túneis da Cloudflare. Esta estratégia cria canais de comunicação redundantes que contornam muitas das barreiras de firewall tradicionais.
Falhas críticas e desativação de defesas
A porta de entrada para estes ataques são duas vulnerabilidades específicas no SolarWinds WHD: a CVE-2025-40551 e a CVE-2025-26399. Ambas são classificadas como críticas e permitem a execução remota de código sem necessidade de autenticação. A gravidade da situação levou a CISA a emitir alertas na semana passada sobre o uso ativo destas falhas.
A sofisticação do ataque não se fica pela exploração das falhas. Uma vez dentro da rede, os hackers desativam rapidamente o Windows Defender e modificam o registo do sistema para impedir que as firewalls bloqueiem os seus downloads subsequentes. Investigadores da Microsoft também confirmaram ter observado intrusões em várias etapas que exploram estas instâncias expostas do SolarWinds WHD, visando ativos de alto valor.
Para os administradores de sistemas que utilizam esta plataforma, a recomendação é imediata e não deve ser ignorada: é crucial atualizar o SolarWinds Web Help Desk para a versão 2026.1 ou superior. Além disso, remover o acesso público às interfaces de administração e redefinir todas as credenciais associadas ao produto são passos essenciais para mitigar o risco de uma intrusão que usa as próprias ferramentas de gestão contra a empresa.
Nenhum comentário
Seja o primeiro!