CISA upozorava na aktivne napade koji iskorištavaju propust u SolarWinds Serv-U i ruše servere

Američka agencija za kibernetičku sigurnost CISA priopćila je da napadači sada aktivno iskorištavaju nedavno zakrpani propust visoke ozbiljnosti u SolarWindsovu Serv-U kako bi rušili servere. Riječ je o poslužiteljskom softveru za Windows i Linux koji služi za Managed File Transfer i FTP funkcije te omogućuje razmjenu datoteka putem HTTP/HTTPS, FTP, FTPS i SFTP protokola.

SolarWinds je u četvrtak objavio Serv-U 15.5.4 Hotfix 1 kako bi zakrpao ovaj DoS propust, označen kao CVE-2026-28318, koji proizlazi iz nekontrolirane potrošnje resursa. Tvrtka navodi da je Serv-U osjetljiv na posebno oblikovane POST zahtjeve koji mogu srušiti Serv-U servis bez autentifikacije, uz korištenje zaglavlja Content-Encoding: deflate. SolarWinds je dodatno savjetovao administratorima koji ne mogu odmah uvesti zakrpu da ograniče pristup poznatim adresama i blokiraju svaki POST zahtjev koji sadrži „content-encoding”, uz obrazloženje da Serv-U servis tu funkcionalnost ne zahtijeva.

CISA je nekoliko dana nakon objave zakrpe označila propust kao iskorištavan u stvarnim napadima i dodala ga u katalog Known Exploited Vulnerabilities. Agencija je pritom naložila svim federalnim civilnim izvršnim agencijama da zaštite svoje servere od napada do 19. lipnja, u skladu s Binding Operational Directive 22-01. Iako se ta obveza odnosi na američke državne institucije, CISA je pozvala i sve druge obrambene timove, uključujući privatni sektor, da što prije osiguraju mreže protiv napada na CVE-2026-28318.

SolarWinds Serv-U već je ranije bio meta različitih grupa. CISA navodi da su u posljednjim godinama više kriminalnih i državom povezanih hakerskih skupina napadale ranjivosti u Serv-U kako bi došle do osjetljivih korporativnih i korisničkih podataka. Kao primjer se spominje ransomware skupina Clop, koja je iskoristila ranjivost za udaljeno izvođenje koda CVE-2021-35211 u kampanji iz 2021., dok su kineski hakeri iz DEV-0322 također koristili iste exploite u napadima koji su počeli u srpnju 2021. U lipnju 2024. GreyNoise i Rapid7 označili su i propust za path traversal CVE-2024-28995 kao aktivno iskorištavan.