A pesar de que CISA lo ha añadido a su catálogo de vulnerabilidades explotadas, la Fundación Shadowserver alerta que cientos de organizaciones aún no han parcheado una falla que permite a atacantes ejecutar código sin autenticación.
La historia se repite con SolarWinds. Hoy 5 de febrero de 2026, que al menos 170 instalaciones críticas de SolarWinds Web Help Desk (WHD) permanecen expuestas públicamente y vulnerables a un fallo de Ejecución Remota de Código (RCE) que ya está siendo explotado activamente por ciberdelincuentes.
La vulnerabilidad en cuestión, CVE-2025-40551, tiene una puntuación de severidad perfecta de 9.8/10. No es un fallo teórico; es una puerta abierta que permite a cualquier persona en internet tomar el control total del servidor de soporte técnico de una empresa, un activo que suele contener información sensible sobre empleados y tickets de infraestructura.
El Fallo: Deserialización Mortal
El problema reside en una debilidad clásica de Java: la Deserialización Insegura.
- El Vector: El componente vulnerable es la funcionalidad AjaxProxy.
- El Ataque: Un atacante no necesita usuario ni contraseña. Solo debe enviar un objeto Java serializado malicioso a la aplicación. Cuando el servidor intenta procesar (“deserializar”) este objeto, ejecuta ciegamente los comandos incrustados en él.
- El Resultado: Acceso total al sistema operativo con los privilegios de la cuenta de servicio de Web Help Desk.
Contexto de Explotación Activa
La urgencia de esta noticia radica en su estatus operativo.
- CISA KEV: La Agencia de Ciberseguridad de EE. UU. (CISA) añadió este fallo a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) el 3 de febrero de 2026, dando a las agencias federales un plazo de solo 72 horas para parchear.
- BitSight: Ha asignado una puntuación de “Probabilidad de Explotación Dinámica” de 9.19, lo que indica que los ataques están ocurriendo ahora mismo a gran escala.
Un Paquete de Cuatro Fallos
Es importante notar que el CVE-2025-40551 no viene solo. SolarWinds ha lanzado la versión 2026.1 para corregir este y otros tres fallos críticos descubiertos simultáneamente:
- CVE-2025-40552: Bypass de autenticación.
- CVE-2025-40553: Otra variante de RCE por deserialización.
- CVE-2025-40554: Bypass de autenticación adicional.
Todos estos fallos tienen una severidad de 9.8, lo que significa que un servidor sin actualizar es básicamente indefendible.
¿Qué debes hacer?
Si tu organización utiliza SolarWinds Web Help Desk:
- Verifica la Versión: Si estás ejecutando cualquier versión anterior a la 2026.1, asume que eres vulnerable.
- Aísla el Servidor: Si no puedes parchear inmediatamente, desconecta el servidor de internet. Una herramienta de Help Desk interna no debería estar expuesta a la web pública sin una VPN de por medio.
- Actualiza: Aplica el parche 2026.1 hoy mismo.
- Revisa Logs: Busca peticiones inusuales dirigidas a los endpoints de AjaxProxy en tus registros web de los últimos 30 días para descartar un compromiso previo.
