Без пароля, без аккаунта, 12000 серверов. Новая уязвимость в SolarWinds позволяет положить сервер одним запросом
NewsMakerСША признали уязвимость SolarWinds активно эксплуатируемой и дали госорганам две недели.
Уязвимость в SolarWinds Serv-U уже начали использовать в атаках. Злоумышленникам не нужны ни пароль, ни доступ к учётной записи: достаточно отправить специально подготовленный запрос, чтобы вывести сервер из строя. Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что злоумышленники активно используют недавно закрытую уязвимость CVE-2026-28318 (CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H — 7.5 (High)) в SolarWinds Serv-U. Проблема позволяет удалённо вызвать отказ в обслуживании.
Serv-U применяют, чтобы передавать файлы в средах Windows и Linux. Программа поддерживает управляемый обмен файлами и работу серверов FTP, FTPS, SFTP, HTTP и HTTPS, через которые компании передают данные внутри инфраструктуры и внешним получателям.
SolarWinds выпустила исправление Serv-U 15.5.4 Hotfix 1 4 июня. По данным компании, сбой связан с тем, что ресурсы расходуются бесконтрольно. Уязвимость срабатывает, когда сервер получает специально созданный POST-запрос с параметром Content-Encoding: deflate. Такой запрос может аварийно завершить работу службы Serv-U, минуя проверку подлинности.
Атака не требует привилегий в системе или действий со стороны пользователя и технически проста в исполнении. Если администраторы не могут быстро установить обновление, SolarWinds советует временно ограничить доступ к Serv-U только доверенными адресами и блокировать POST-запросы, содержащие content-encoding. По словам компании, уязвимой службе такая функция не нужна.
По данным Shodan, в интернете сейчас доступны более 12 000 серверов Serv-U. Shadowserver видит чуть более 3 100 таких систем. Сколько из них уже получили исправление, неизвестно. Через несколько дней после того как вышло обновление, американское агентство добавило CVE-2026-28318 в каталог активно эксплуатируемых уязвимостей (KEV). Федеральные гражданские ведомства США обязаны закрыть проблему до 19 июня по директиве BOD 22-01.
Формально требование касается только американских госорганов, но агентство призвало все организации как можно быстрее защитить свои сети. Ведомство предупредило, что уязвимости такого типа часто становятся удобной точкой входа для злоумышленников и создают серьёзные риски для федеральной инфраструктуры.
Serv-U уже не раз попадал в поле зрения преступных и государственных группировок. В 2021 году группировка Clop использовала уязвимость CVE-2021-35211 , чтобы взламывать корпоративные сети. Ту же проблему применяли китайские хакеры DEV-0322 в атаках нулевого дня.
В июне 2024 года стало известно, что злоумышленники активно используют другую уязвимость Serv-U , позволявшую обходить пути в файловой системе. За последние годы американское агентство признало 11 уязвимостей в разных продуктах SolarWinds уже используемыми в атаках, причём одну из них также применяли вымогательские группировки.
Уязвимость в SolarWinds Serv-U уже начали использовать в атаках. Злоумышленникам не нужны ни пароль, ни доступ к учётной записи: достаточно отправить специально подготовленный запрос, чтобы вывести сервер из строя. Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что злоумышленники активно используют недавно закрытую уязвимость CVE-2026-28318 (CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H — 7.5 (High)) в SolarWinds Serv-U. Проблема позволяет удалённо вызвать отказ в обслуживании.
Serv-U применяют, чтобы передавать файлы в средах Windows и Linux. Программа поддерживает управляемый обмен файлами и работу серверов FTP, FTPS, SFTP, HTTP и HTTPS, через которые компании передают данные внутри инфраструктуры и внешним получателям.
SolarWinds выпустила исправление Serv-U 15.5.4 Hotfix 1 4 июня. По данным компании, сбой связан с тем, что ресурсы расходуются бесконтрольно. Уязвимость срабатывает, когда сервер получает специально созданный POST-запрос с параметром Content-Encoding: deflate. Такой запрос может аварийно завершить работу службы Serv-U, минуя проверку подлинности.
Атака не требует привилегий в системе или действий со стороны пользователя и технически проста в исполнении. Если администраторы не могут быстро установить обновление, SolarWinds советует временно ограничить доступ к Serv-U только доверенными адресами и блокировать POST-запросы, содержащие content-encoding. По словам компании, уязвимой службе такая функция не нужна.
По данным Shodan, в интернете сейчас доступны более 12 000 серверов Serv-U. Shadowserver видит чуть более 3 100 таких систем. Сколько из них уже получили исправление, неизвестно. Через несколько дней после того как вышло обновление, американское агентство добавило CVE-2026-28318 в каталог активно эксплуатируемых уязвимостей (KEV). Федеральные гражданские ведомства США обязаны закрыть проблему до 19 июня по директиве BOD 22-01.
Формально требование касается только американских госорганов, но агентство призвало все организации как можно быстрее защитить свои сети. Ведомство предупредило, что уязвимости такого типа часто становятся удобной точкой входа для злоумышленников и создают серьёзные риски для федеральной инфраструктуры.
Serv-U уже не раз попадал в поле зрения преступных и государственных группировок. В 2021 году группировка Clop использовала уязвимость CVE-2021-35211 , чтобы взламывать корпоративные сети. Ту же проблему применяли китайские хакеры DEV-0322 в атаках нулевого дня.
В июне 2024 года стало известно, что злоумышленники активно используют другую уязвимость Serv-U , позволявшую обходить пути в файловой системе. За последние годы американское агентство признало 11 уязвимостей в разных продуктах SolarWinds уже используемыми в атаках, причём одну из них также применяли вымогательские группировки.