CISA inclui no KEV falha em SolarWinds Serv-U sob exploração ativa (CVE-2026-28318)

A CISA incluiu no catálogo Known Exploited Vulnerabilities (KEV) a falha CVE-2026-28318 (CVSS 7.5) que afeta o SolarWinds Serv-U, citando evidências de exploração ativa. Agências federais civis dos Estados Unidos têm até 19 de junho de 2026 para aplicar a correção, e o vetor já permite derrubar o servidor de arquivos sem qualquer autenticação.

O que aconteceu

A Cybersecurity and Infrastructure Security Agency (CISA) adicionou ao seu catálogo KEV uma vulnerabilidade de alta severidade no SolarWinds Serv-U, software de servidor de arquivos multiprotocolo amplamente utilizado para transferências corporativas e governamentais. A inclusão no KEV é o sinal mais explícito que a agência norte-americana emite sobre falhas que estão sendo exploradas em ambientes reais, transformando uma correção opcional em obrigação legal para órgãos federais civis.

A vulnerabilidade, identificada como CVE-2026-28318, recebeu pontuação CVSS de 7,5 e é classificada como denial-of-service (DoS). Embora não permita execução remota de código nem roubo direto de dados, ela é capaz de derrubar o serviço Serv-U de forma remota e sem credenciais, abrindo brecha para interrupção operacional crítica em ambientes que dependem do servidor para fluxos de transferência sensíveis.

A própria SolarWinds publicou um aviso confirmando o problema e disponibilizou a versão 15.5.4 HF1 com a correção. A CISA emitiu prazo até 19 de junho de 2026 para que as agências do Federal Civilian Executive Branch (FCEB) apliquem o patch ou removam o produto vulnerável de seus ambientes.

Detalhes da vulnerabilidade

Trata-se de uma falha de consumo descontrolado de recursos. Segundo o aviso da SolarWinds, requisições POST especialmente construídas, usando o cabeçalho Content-Encoding: deflate, são capazes de derrubar o serviço sem autenticação. Como o vetor explora o processamento de payloads comprimidos, basta um único pedido malformado atravessando uma firewall ou exposto à internet para encerrar o processo do Serv-U.

O SolarWinds Serv-U é suscetível a requisições POST especialmente construídas que travam o serviço sem autenticação ao utilizar Content-Encoding: deflate.

SolarWinds, em aviso de segurança

O fato de o ataque não exigir credenciais é particularmente preocupante: instâncias expostas diretamente à internet podem ser desligadas em série por scripts automatizados, e o esforço de exploração é mínimo. A CISA não divulgou detalhes operacionais sobre como a falha está sendo explorada nem identificou os grupos responsáveis, mas o histórico do produto é recheado de abusos por atores motivados financeiramente.

Quem é afetado

A vulnerabilidade impacta versões anteriores ao Serv-U 15.5.4 HF1. Os perfis mais expostos incluem:

• Agências federais civis dos Estados Unidos, agora sob mandato direto da Binding Operational Directive 22-01.
• Empresas que utilizam Serv-U para transferências de arquivos entre parceiros, frequentemente com instâncias publicadas em DMZs.
• Provedores de serviços gerenciados (MSPs) que mantêm Serv-U para clientes finais com acesso externo.
• Setores regulados (saúde, financeiro, energia) onde indisponibilidade de transferências de arquivos significa interrupção de processos críticos.

Análise

O Serv-U já figurou em incidentes graves no passado. A CVE-2021-35211, também associada ao produto, foi exploração ativa por grupos ligados ao governo chinês, e diversas falhas do ecossistema SolarWinds foram aproveitadas pelo grupo Cl0p em campanhas de ransomware com componente de extorsão. A organização tem histórico de figurar em listas de alvos preferenciais por ser um ponto único de roteamento de dados sensíveis entre organizações.

Embora a CVE-2026-28318 seja, em tese, apenas um DoS, o contexto agrava o risco. Em ambientes empresariais, derrubar o Serv-U significa quebrar pipelines de B2B, EDI, integrações com bancos e fluxos de backup. Para um atacante interessado em extorsão, a indisponibilidade pode ser tão lucrativa quanto a exfiltração: um DoS persistente em horário de fechamento de mês pode forçar negociações de resgate sem que o invasor precise sequer copiar dados.

Há também o cenário em que o DoS é apenas o estágio inicial. Falhas de DoS frequentemente compartilham primitivas de manipulação de memória com vulnerabilidades de execução remota. Não seria surpreendente ver pesquisadores ou atores ofensivos encadearem o vetor de deflate com outras falhas no parser HTTP do Serv-U em busca de RCE em versões futuras. O carimbo do KEV é, na prática, um aviso para que equipes não tratem o caso como prioridade média.

Recomendações práticas

• Aplicar imediatamente o hotfix Serv-U 15.5.4 HF1 em todas as instâncias gerenciadas, priorizando as expostas à internet.
• Restringir o acesso ao Serv-U a faixas de IP conhecidas via firewall de borda ou WAF enquanto o patch é validado.
• Bloquear, em proxies reversos e WAFs, qualquer requisição POST que carregue o cabeçalho Content-Encoding, já que o serviço não requer esse recurso.
• Auditar logs em busca de POSTs anômalos com payloads comprimidos, falhas repetidas do serviço ou reinícios automáticos correlacionados.
• Para órgãos federais civis dos EUA, cumprir o prazo da CISA de 19 de junho de 2026, conforme exigido pela BOD 22-01.
• Inventariar todas as instâncias Serv-U conectadas a parceiros externos, incluindo aquelas sob gestão de MSPs ou em ambientes legados.

Fonte: The Hacker News