Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило в свой каталог известных эксплуатируемых уязвимостей (KEV) новую запись. Речь идет о критической проблеме в файловом сервере SolarWinds Serv-U. Решение было принято на основании подтвержденных данных о том, что злоумышленники уже активно используют эту уязвимость в реальных атаках.
Уязвимость CVE-2026-28318
Речь идет об уязвимости CVE-2026-28318. По шкале CVSS (стандартной системе оценки критичности программных ошибок) она получила 7,5 балла из 10, что соответствует высокому уровню опасности. Проблема затрагивает продукт Serv-U - популярное решение для защищенной передачи файлов, которое используют многие компании по всему миру.
О чем именно идет речь? Уязвимость позволяет неавторизованному злоумышленнику отправить на сервер специально сформированный POST-запрос. В ходе обработки такого запроса происходит неконтролируемое потребление ресурсов системы. Грубо говоря, атака приводит к аварийному завершению работы службы Serv-U. Сервис попросту падает, переставая отвечать на легитимные запросы пользователей.
Ключевая особенность здесь в том, что для проведения атаки не требуется никакой аутентификации. Злоумышленнику не нужно знать пароль или иметь доступ к внутренним сетям. Ему достаточно лишь знать сетевой адрес уязвимого сервера. В описании также указано, что проблема проявляется при обработке POST-запросов с использованием определенного заголовка сжатия данных. Этот нюанс делает атаку технически относительно простой в реализации.
Под удар попали пользователи SolarWinds Serv-U версии 15.5.4 и всех более ранних выпусков. Важно отметить, что уязвимость актуальна не только для версии под управлением Windows, но и для Linux-сборок продукта. Производитель уже выпустил обновление, закрывающее брешь. Для тех, кто по каким-то причинам не может установить патч прямо сейчас, разработчики предоставили временные меры защиты.
Ситуация осложняется тем, что это не первый случай, когда продукты SolarWinds оказываются в центре скандалов, связанных с информационной безопасностью. История компании уже знает громкие инциденты. В 2020 году мир потрясла атака на цепочку поставок через платформу Orion. Тогда злоумышленникам удалось внедрить вредоносный код в обновления законного программного обеспечения, что затронуло тысячи клиентов, включая правительственные учреждения США.
Какие риски несет текущая уязвимость? В первую очередь, это нарушение доступности сервиса. Если злоумышленник эксплуатирует CVE-2026-28318, бизнес-процессы, завязанные на передачу файлов, могут быть парализованы. Простой файлового сервера может означать остановку обмена документами, срыв сроков сдачи отчетности и прямые финансовые потери. Во вторую очередь, сам факт DoS-атаки (атаки на отказ в обслуживании) может использоваться как отвлекающий маневр. Пока ИТ-специалисты заняты восстановлением работоспособности сервера, злоумышленники могут попытаться реализовать другую, более опасную атаку на смежные системы.
В контексте данного события специалистам по безопасности стоит обратить внимание на один важный нюанс. Уязвимость затрагивает именно функционал обработки запросов Content-Encoding: deflate. Это достаточно распространенный механизм сжатия данных. Следовательно, атака может быть автоматизирована и проведена без особых сложностей.
Что следует предпринять компаниям, использующим SolarWinds Serv-U? Прежде всего, необходимо провести инвентаризацию и проверить версии установленного программного обеспечения. Если используется версия 15.5.4 или более ранняя, требуется немедленно установить обновление. Если по каким-то причинам это невозможно, следует применить обходные меры защиты, описанные производителем. Также рекомендуется проверить логи на предмет необычной активности, связанной с повторяющимися POST-запросами, которые приводят к аварийной остановке службы.
Добавление уязвимости в каталог KEV означает, что CISA считает эту проблему реальной угрозой. Агентство фактически дает сигнал всем государственным и частным организациям: промедление с устранением этой бреши напрямую ведет к риску взлома. Таким образом, для всех администраторов и ИБ-специалистов приоритетная задача на ближайшее время очевидна.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-28318
- https://www.cisa.gov/news-events/alerts/2026/06/05/cisa-adds-one-known-exploited-vulnerability-catalog
