CISA ostrzega przed aktywnie wykorzystywanymi lukami w SolarWinds, Ivanti i Workspace ONE

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o trzy podatności dotyczące popularnych rozwiązań enterprise: SolarWinds Web Help Desk, Ivanti Endpoint Manager oraz Omnissa Workspace ONE UEM. Umieszczenie luk w tym katalogu oznacza, iż istnieją dowody ich aktywnego wykorzystywania w rzeczywistych atakach, co podnosi priorytet działań po stronie administratorów i zespołów SOC.

W skrócie

CISA wskazała trzy podatności jako aktywnie eksploatowane: CVE-2025-26399 w SolarWinds Web Help Desk, CVE-2026-1603 w Ivanti Endpoint Manager oraz CVE-2021-22054 w Workspace ONE UEM. Najpoważniejsza z nich, dotycząca SolarWinds, umożliwia wykonanie poleceń na hoście poprzez deserializację niezaufanych danych w komponencie AjaxProxy.

Luka w Ivanti pozwala na obejście uwierzytelniania i ujawnienie określonych poświadczeń, natomiast błąd w Workspace ONE UEM ma charakter SSRF i może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji. Dla środowisk federalnych wyznaczono krótkie terminy wdrożenia poprawek, co dodatkowo podkreśla wagę zagrożenia.

• CVE-2025-26399: SolarWinds Web Help Desk, ryzyko wykonania poleceń na hoście
• CVE-2026-1603: Ivanti Endpoint Manager, obejście uwierzytelniania i ujawnienie poświadczeń
• CVE-2021-22054: Workspace ONE UEM, SSRF i możliwość pozyskania wrażliwych danych

Kontekst / historia

Katalog KEV jest wykorzystywany przez CISA jako operacyjna lista podatności, które powinny być traktowane priorytetowo ze względu na ich wykorzystanie przez realnych przeciwników. W praktyce wpis do KEV często oznacza, iż luka przeszła już z fazy teoretycznej do etapu skutecznej weaponizacji.

W przypadku SolarWinds Web Help Desk podatność CVE-2025-26399 pojawia się w szerszym kontekście problemów bezpieczeństwa tego produktu. W ostatnich miesiącach badacze i dostawcy usług MDR raportowali aktywność operatorów wykorzystujących błędy Web Help Desk do uzyskania dostępu początkowego do środowisk ofiar. Opisywana kampania była łączona z działalnością grupy ransomware Warlock.

Luka CVE-2021-22054 nie jest nowa, ale jej ponowne pojawienie się w katalogu aktywnie wykorzystywanych błędów pokazuje istotny problem operacyjny: starsze podatności wciąż pozostają obecne w środowiskach produkcyjnych. Z kolei CVE-2026-1603 w Ivanti Endpoint Manager wpisuje się w utrzymujący się trend wysokiego zainteresowania aktorów zagrożeń produktami do zarządzania infrastrukturą i punktami końcowymi.

Analiza techniczna

CVE-2025-26399 w SolarWinds Web Help Desk to podatność typu deserialization of untrusted data w komponencie AjaxProxy. Tego rodzaju błędy są szczególnie niebezpieczne, ponieważ pozwalają aplikacji przetwarzać dane wejściowe jako obiekty o zaufanym charakterze. o ile mechanizm deserializacji nie został odpowiednio zabezpieczony, atakujący może doprowadzić do wykonania kontrolowanego łańcucha operacji, a finalnie do zdalnego wykonania kodu lub poleceń systemowych.

W praktyce oznacza to możliwość przejęcia serwera aplikacyjnego bez konieczności wcześniejszego uwierzytelnienia, jeżeli podatny komponent jest osiągalny z sieci. To właśnie dlatego systemy help desk, które często są dostępne dla wielu użytkowników i zintegrowane z innymi usługami, stają się atrakcyjnym celem.

CVE-2026-1603 w Ivanti Endpoint Manager została opisana jako obejście uwierzytelniania z wykorzystaniem alternatywnej ścieżki lub kanału. Ten typ błędu zwykle wynika z niespójności między mechanizmami autoryzacji a logiką routingu, obsługi endpointów lub komunikacji między komponentami aplikacji. W konsekwencji nieautoryzowany atakujący zdalny może uzyskać dostęp do określonych przechowywanych danych uwierzytelniających.

Nawet jeżeli luka nie daje natychmiastowego zdalnego wykonania kodu, wyciek poświadczeń może stać się punktem wyjścia do dalszej eskalacji uprawnień, ruchu bocznego lub kompromitacji innych systemów zarządzanych przez platformę.

CVE-2021-22054 w Workspace ONE UEM jest podatnością SSRF. Ataki tego typu polegają na wymuszeniu na serwerze wykonania żądań do zasobów wskazanych przez napastnika. o ile aplikacja działa w uprzywilejowanym segmencie sieci, SSRF może zostać użyte do enumeracji usług wewnętrznych, pobierania metadanych, obchodzenia segmentacji logicznej, a czasem także do uzyskania dostępu do danych niedostępnych z Internetu.

W tym przypadku wskazywano, iż osoba z dostępem sieciowym do UEM może wysyłać żądania bez uwierzytelnienia i pozyskiwać informacje wrażliwe. Istotne jest również to, iż aktywna eksploatacja nie zawsze oznacza publicznie dostępny exploit o szerokiej dystrybucji. Często pierwsze nadużycia są obserwowane przez dostawców telemetrii, zespoły threat intelligence lub firmy prowadzące obsługę incydentów.

Konsekwencje / ryzyko

Ryzyko biznesowe i operacyjne jest wysokie, ponieważ wszystkie trzy produkty należą do kategorii systemu uprzywilejowanego administracyjnie. Systemy help desk, UEM i endpoint management mają zwykle rozległy dostęp do danych, stacji roboczych, konfiguracji oraz poświadczeń technicznych.

W scenariuszu kompromitacji SolarWinds Web Help Desk organizacja może mieć do czynienia z pełnym przejęciem serwera aplikacyjnego, instalacją narzędzi post-exploitation, wdrożeniem zdalnego dostępu, kradzieżą danych lub przygotowaniem środowiska pod wdrożenie ransomware. o ile serwer jest zintegrowany z pocztą, katalogiem użytkowników lub systemami zgłoszeniowymi, skala skutków rośnie.

W przypadku Ivanti Endpoint Manager kluczowym zagrożeniem jest ujawnienie przechowywanych poświadczeń. Tego typu dane mogą umożliwić przeciwnikowi przejęcie kont serwisowych, kont administracyjnych albo mechanizmów dystrybucji oprogramowania. To z kolei otwiera drogę do masowej kompromitacji punktów końcowych.

Workspace ONE UEM z podatnością SSRF stwarza ryzyko wykorzystania serwera zarządzającego jako przekaźnika do zasobów wewnętrznych. W środowiskach hybrydowych i chmurowych może to prowadzić do ujawnienia danych konfiguracyjnych, informacji o infrastrukturze lub innych elementów wspierających późniejszą eskalację ataku.

Największym problemem z perspektywy blue teamu jest fakt, iż mowa o lukach już aktywnie wykorzystywanych. Oznacza to, iż odkładanie aktualizacji na później przestaje być decyzją akceptowalną operacyjnie.

Rekomendacje

Priorytetem powinno być natychmiastowe ustalenie, czy w organizacji działają podatne instancje SolarWinds Web Help Desk, Ivanti Endpoint Manager lub Workspace ONE UEM. Następnie należy zweryfikować wersje, dostępność z sieci zewnętrznych oraz status wdrożenia poprawek producenta.

Zalecane działania operacyjne:

• wdrożyć aktualizacje bezpieczeństwa i hotfixy dla wszystkich wskazanych produktów w trybie pilnym,
• ograniczyć ekspozycję interfejsów administracyjnych do zaufanych segmentów sieci i połączeń przez VPN,
• przeanalizować logi aplikacyjne, serwerowe i sieciowe pod kątem nietypowych żądań do AjaxProxy, podejrzanych prób dostępu bez uwierzytelnienia oraz ruchu wskazującego na SSRF,
• sprawdzić, czy na serwerach zarządzających nie pojawiły się nieautoryzowane narzędzia zdalnej administracji, tunele, web shelle lub nowe zadania harmonogramu,
• wymusić rotację poświadczeń, o ile istnieje choćby podejrzenie kompromitacji systemu Ivanti Endpoint Manager,
• zastosować dodatkowe reguły detekcyjne w SIEM/XDR dla procesów potomnych uruchamianych przez usługi aplikacyjne oraz dla połączeń wychodzących z serwerów zarządzających do nietypowych adresów,
• przeprowadzić hunting historyczny obejmujący przynajmniej okres od publikacji poprawek i pierwszych doniesień o exploitacji.

Warto również potraktować systemy klasy UEM i help desk jako zasoby Tier 0 lub zbliżone do tej kategorii. Ich monitoring powinien być bardziej restrykcyjny niż w przypadku zwykłych aplikacji biznesowych, ponieważ kompromitacja takich platform bardzo często prowadzi do rozlania incydentu na całą organizację.

Podsumowanie

Dodanie CVE-2025-26399, CVE-2026-1603 i CVE-2021-22054 do katalogu KEV potwierdza, iż przeciwnicy przez cały czas skutecznie wykorzystują zarówno nowe, jak i starsze błędy w systemach o wysokich uprawnieniach. Szczególnie niebezpieczna jest luka w SolarWinds Web Help Desk, ponieważ może prowadzić do zdalnego wykonania poleceń i przejęcia hosta.

Podatność w Ivanti zwiększa ryzyko wycieku poświadczeń, a SSRF w Workspace ONE UEM może zostać wykorzystane do dalszej penetracji środowiska wewnętrznego. Dla organizacji oznacza to konieczność natychmiastowego patchowania, przeglądu ekspozycji usług oraz aktywnego poszukiwania śladów nadużyć.

Źródła

1. The Hacker News — CISA Flags SolarWinds, Ivanti, and Workspace One Vulnerabilities as Actively Exploited — https://thehackernews.com/2026/03/cisa-flags-solarwinds-ivanti-and.html
2. Ivanti — March 2026 Security Update — https://www.ivanti.com/blog/march-2026-security-update
3. Huntress — Active Exploitation of SolarWinds Web Help Desk (CVE-2025-26399) — https://www.huntress.com/blog/active-exploitation-solarwinds-web-help-desk-cve-2025-26399
4. VMware Security Blog — Workspace ONE UEM SSRF CVE-2021-22054 Patch Alert — https://blogs.vmware.com/security/2022/04/workspace-one-uem-ssrf-cve-2021-22054-patch-alert.html
5. Horizon3.ai — Ivanti Endpoint Manager (EPM) | CVE-2026-1603 — https://horizon3.ai/attack-research/vulnerabilities/cve-2026-1603/