SolarWinds закрывает критические уязвимости в Serv-U: четыре ошибки позволяли получить полный контроль над серверами передачи файлов

Компания SolarWinds выпустила экстренное обновление безопасности для своего программного обеспечения Serv-U, предназначенного для передачи файлов. Исправление устраняет четыре критические уязвимости, которые в совокупности могли позволить злоумышленнику выполнить произвольный код с правами суперпользователя (root) на затронутых серверах. Все обнаруженные недостатки получили максимально высокий балл 9.1 по шкале CVSS, что классифицирует их как критические. Патч включен в версию Serv-U 15.5.4, выпущенную 24 февраля 2026 года.

Детали уязвимости

Serv-U представляет собой широко распространённое серверное решение для обмена файлами, которое организации используют для безопасной передачи данных по протоколам FTP, FTPS, SFTP и HTTP/S. Этот инструмент критически важен для бизнес-процессов, обеспечивая обмен информацией как внутри компаний, так и с внешними партнёрами. Именно широкое внедрение в корпоративных средах делает Serv-U высокоприоритетной целью для киберпреступных группировок, стремящихся получить доступ к конфиденциальным данным. Обнаруженные уязвимости, позволяющие получить полный контроль над системой, создают прямую угрозу утечки такой информации, остановки критичных процессов и финансового ущерба.

Наиболее серьёзной из четырёх проблем является CVE-2025-40538. Эта уязвимость связана с нарушением контроля доступа (Broken Access Control). Её особенность в том, что для эксплуатации атакующему уже требуются определённые привилегии - права администратора домена или группы. Однако, используя этот недостаток, злоумышленник может создать учётную запись системного администратора и впоследствии выполнить произвольный код от имени суперпользователя. Таким образом, уязвимость предоставляет мгновенный путь эскалации привилегий до уровня полного административного контроля над системой, что является ключевым этапом в цепочке большинства целенаправленных атак.

Остальные три уязвимости - CVE-2025-40539, CVE-2025-40540 и CVE-2025-40541 - лишь усиливают общую угрозу. CVE-2025-40539 и CVE-2025-40540 относятся к классу "путаницы типов" (type confusion) в машинном коде Serv-U. Ошибки этого типа возникают из-за небезопасной работы с памятью, когда программа некорректно интерпретирует тип данных в определённой области памяти. В результате злоумышленник может манипулировать этой памятью для выполнения собственного произвольного машинного кода, опять же, с правами суперпользователя. CVE-2025-40541 является уязвимостью типа "небезопасные прямые ссылки на объекты" (Insecure Direct Object Reference), которая, будучи использованной, также приводит к выполнению произвольного машинного кода с максимальными привилегиями.

Важный нюанс, отмеченный SolarWinds, заключается в том, что для эксплуатации всех четырёх уязвимостей атакующему изначально необходимы административные права в системе. Это несколько сужает круг потенциальных злоумышленников, однако не делает угрозу менее значимой. В корпоративных сетях компрометация учётных данных администратора - распространённое явление, часто являющееся следствием фишинга или использования украденных данных для доступа. Кроме того, в развёртываниях под управлением Windows риск изначально оценивается как средний, поскольку службы Serv-U по умолчанию часто запускаются под учётными записями служб с ограниченными правами. Тем не менее, наличие даже одной учётной записи с повышенными привилегиями в системе делает её уязвимой.

Хотя SolarWinds официально не подтверждает факты активной эксплуатации этих четырёх конкретных уязвимостей в дикой среде, история данного продукта заставляет отнестись к обновлению с максимальной серьёзностью. Программное обеспечение Serv-U неоднократно становилось мишенью для продвинутых угроз. В частности, ранее обнаруженные уязвимости, такие как CVE-2021-35211 и CVE-2024-28995, активно использовались кибергруппировками. Ярким примером является группировка из Китая, отслеживаемая под обозначением Storm-0322 (ранее известная как DEV-0322), которая применяла эксплойты для нулевого дня, нацеливаясь на оборонные и программные компании США. Уязвимость CVE-2024-28995, связанная с обходом пути (path traversal), была успешно использована злоумышленниками всего через несколько дней после её раскрытия, с помощью публично доступного доказательства концепции.

Все четыре новые уязвимости были устранены в версии Serv-U 15.5.4. Компания SolarWinds настоятельно рекомендует всем организациям, использующим Serv-U версии 15.5 или более ранние, немедленно выполнить обновление. Особое внимание следует уделить тому, что версии 15.5.1 и ниже достигли окончания срока инженерной поддержки (End-of-Engineering) 18 февраля 2026 года. Это означает, что для данных релизов больше не будут выпускаться какие-либо обновления безопасности, что оставляет системы, работающие на них, в постоянной и неприкрытой опасности.

С практической точки зрения, администраторам и специалистам по информационной безопасности необходимо предпринять срочные меры. Первым и обязательным шагом является проверка всех развёрнутых экземпляров Serv-U и их обновление до актуальной версии 15.5.4. Далее следует провести аудит учётных записей с административными привилегиями в системах, где работает Serv-U, и ужесточить политики их использования, внедрив, где это возможно, принцип наименьших привилегий. Кроме того, учитывая целевую историю атак на подобное ПО, мониторинг сетевой активности, исходящей от серверов Serv-U, и корреляция событий в рамках SOC (Security Operations Center - центр мониторинга и реагирования на киберинциденты) становятся критически важными для раннего обнаружения подозрительных действий. В конечном счёте, данная ситуация в очередной раз подчёркивает необходимость своевременного применения исправлений безопасности для всего критически важного программного обеспечения, особенно того, которое обрабатывает конфиденциальные бизнес-данные.

Детали уязвимости

Ссылки