De Amerikaanse cybersecurityorganisatie CISA heeft een waarschuwing afgegeven voor een kritieke kwetsbaarheid in SolarWinds Web Help Desk die actief wordt misbruikt. Amerikaanse overheidsinstanties hebben drie dagen om de beveiligingsupdate te implementeren. CISA meldt dat de kwetsbaarheid, aangeduid als CVE-2025-40551, al wordt gebruikt in aanvallen. Het probleem ontstaat door een fout in de verwerking van niet-vertrouwde data, waardoor aanvallers zonder in te loggen op afstand code kunnen uitvoeren op kwetsbare systemen. Beveiligingsonderzoeker Jimi Sebree van Horizon3.ai ontdekte de kwetsbaarheid. SolarWinds heeft op 28 januari een update uitgebracht die het probleem oplost. Deze update verhelpt ook andere beveiligingsproblemen, zoals hardgecodeerde inloggegevens en kwetsbaarheden die authenticatie omzeilen. Al deze problemen kunnen op afstand worden misbruikt.

Op dinsdag heeft de Cybersecurity and Infrastructure Security Agency (CISA) de kwetsbaarheid toegevoegd aan zijn lijst van actief misbruikte beveiligingslekken. Hierdoor moeten federale overheidsorganisaties volgens de Binding Operational Directive 22-01 binnen drie dagen actie ondernemen. Hoewel deze richtlijn alleen voor federale instanties geldt, adviseert CISA ook andere organisaties om snel te patchen. Eerder zijn kwetsbaarheden in Web Help Desk vaker aangevallen. In 2024 werd een fout met hardgecodeerde wachtwoorden misbruikt, en in 2025 moest SolarWinds een eerdere patch aanpassen omdat deze werd omzeild. Web Help Desk wordt veel gebruikt door overheden, zorginstellingen, onderwijsorganisaties en grote bedrijven. SolarWinds meldt dat wereldwijd meer dan 300.000 klanten hun IT-beheeroplossingen gebruiken, wat de impact van niet-verholpen kwetsbaarheden vergroot.