A vulnerabilidade CVE-2026-28318 permite derrubar o serviço Serv-U sem autenticação por meio de requisições POST especialmente criadas com Content-Encoding: deflate.
| Componente | SolarWinds Serv-U, servidor de arquivos multiprotocolo afetado pela vulnerabilidade CVE-2026-28318. |
| Vetor | Requisições POST especialmente criadas, sem autenticação, usando Content-Encoding: deflate. |
| Impacto | Consumo não controlado de recursos que causa falha do serviço e condição de negação de serviço. |
| Prioridade | Atualizar para SolarWinds Serv-U 15.5.4 HF1, restringir acesso a endereços conhecidos e bloquear requisições com content-encoding quando aplicável. |
| Versões | A correção foi disponibilizada no SolarWinds Serv-U 15.5.4 HF1. |
| Prazo KEV | Agências FCEB devem corrigir a falha até 19 de junho de 2026. |
A CISA adicionou a vulnerabilidade CVE-2026-28318 ao catálogo Known Exploited Vulnerabilities após registrar evidência de exploração ativa contra o SolarWinds Serv-U. A falha tem severidade alta, pontuação CVSS 7.5, e afeta o software de servidor de arquivos multiprotocolo da SolarWinds. O efeito confirmado é negação de serviço: o serviço Serv-U pode ser derrubado quando recebe uma requisição POST especialmente criada, sem necessidade de autenticação, usando o cabeçalho Content-Encoding: deflate.
A falha foi descrita como consumo não controlado de recursos que resulta em condição de DoS. O ponto operacional mais importante é que o vetor não depende de credenciais válidas, o que aumenta a exposição de instâncias acessíveis pela internet ou por redes internas pouco segmentadas. Não há detalhes públicos no material analisado sobre o método exato usado nas explorações reais, sobre atores envolvidos, nem sobre a quantidade de instâncias comprometidas ou impactadas.
O fluxo conhecido envolve o envio de requisições POST ao serviço vulnerável com Content-Encoding: deflate. Nessas condições, o Serv-U processa uma entrada especialmente criada de forma que provoca consumo anormal de recursos e queda do serviço. Como o acionamento é descrito como não autenticado, a defesa deve tratar qualquer superfície Serv-U exposta a redes não confiáveis como prioritária, mesmo quando não houver indício de login bem-sucedido ou de sessão válida.
O impacto confirmado deve ser limitado ao que foi descrito: interrupção do serviço por crash e indisponibilidade. O contexto não sustenta afirmar execução remota de código, roubo de dados, movimentação lateral, exfiltração ou instalação de malware por meio desta vulnerabilidade específica. A inclusão no catálogo KEV, porém, muda a prioridade de resposta porque indica exploração observada em ambiente real, não apenas uma falha teórica ou explorável em laboratório.
A superfície principal são instâncias SolarWinds Serv-U que ainda não foram atualizadas para 15.5.4 HF1 e que aceitam tráfego HTTP capaz de alcançar a rota ou o manipulador responsável por processar requisições POST. O risco é maior quando o serviço fica exposto diretamente à internet, quando há publicação por proxy reverso sem filtragem de cabeçalhos, ou quando a segmentação permite que múltiplas redes internas enviem requisições ao serviço.
Ambientes que usam Serv-U para transferência de arquivos devem considerar o impacto de disponibilidade no processo de negócio. Mesmo sem violação de confidencialidade confirmada, a derrubada repetida do serviço pode interromper integrações, transferências automatizadas, rotinas de parceiros e operações que dependem do servidor multiprotocolo. A presença histórica de exploração de outras falhas em Serv-U por agentes maliciosos, incluindo atividades associadas ao grupo de ransomware Cl0p, reforça a necessidade de inventário e correção rápida, sem extrapolar essa atribuição para a falha atual.
- Instâncias SolarWinds Serv-U anteriores à correção
15.5.4 HF1. - Serviços Serv-U expostos à internet ou acessíveis a redes não confiáveis.
- Publicações por proxy, balanceador ou WAF que encaminhem POST com
content-encodingao backend. - Ambientes FCEB sujeitos ao prazo de correção de 19 de junho de 2026.
A investigação defensiva deve começar por logs de acesso, proxy reverso, WAF e balanceadores que estejam à frente do Serv-U. O sinal mais alinhado ao vetor descrito é a presença de requisições POST destinadas ao serviço com cabeçalho Content-Encoding: deflate, especialmente quando originadas de endereços externos, faixas incomuns, fontes sem histórico operacional ou sequências repetidas próximas a eventos de instabilidade. Como não há IoCs publicados no contexto, a busca deve ser baseada em comportamento e não em listas de domínios, hashes ou endereços IP.
No endpoint ou servidor que hospeda o Serv-U, a telemetria útil inclui reinicializações inesperadas do serviço, falhas de processo, eventos de indisponibilidade, alertas de consumo de recursos e correlação temporal com tráfego POST. Equipes de SOC devem evitar interpretar a queda do serviço como evidência automática de comprometimento de dados. O enquadramento correto é possível exploração de DoS até que outras evidências independentes indiquem atividade adicional.
- Requisições POST para Serv-U contendo
Content-Encoding: deflateou variações de capitalização do cabeçalho. - Sequências de falhas, crashes ou reinicializações do serviço Serv-U após tráfego HTTP incomum.
- Acessos de origens externas não previstas em janelas próximas à indisponibilidade.
- Eventos em WAF, proxy ou balanceador indicando bloqueio, repasse ou anomalia em requisições com
content-encoding.
A correção principal é atualizar o SolarWinds Serv-U para 15.5.4 HF1, versão em que o problema foi tratado. Até a atualização completa, a contenção deve reduzir quem consegue alcançar o serviço e impedir o vetor conhecido. A orientação disponível inclui limitar o acesso a endereços conhecidos e bloquear requisições que contenham content-encoding, já que a funcionalidade não é necessária para o serviço vulnerável conforme descrito no contexto.
Após aplicar a correção ou o bloqueio, a validação precisa confirmar que instâncias expostas não aceitam o padrão de requisição associado à falha e que o serviço permanece estável sob tráfego legítimo. Também é recomendável revisar inventário, regras de publicação, exceções de proxy e janelas de indisponibilidade anteriores para identificar possível exploração. Para organizações com obrigação regulatória ou operacional baseada no catálogo KEV, o prazo de 19 de junho de 2026 deve orientar a priorização formal da mudança.
- Atualizar o SolarWinds Serv-U para
15.5.4 HF1. - Restringir acesso ao serviço para endereços conhecidos e necessários.
- Bloquear requisições com
content-encodingquando elas forem encaminhadas ao Serv-U vulnerável. - Correlacionar crashes do serviço com tráfego POST antes e depois da correção.
- Registrar a evidência de mitigação para ambientes sujeitos ao prazo KEV.
0 Comentários