A CISA adicionou a vulnerabilidade CVE-2026-28318 ao catálogo de falhas exploradas ativamente no SolarWinds Serv-U. O bug de negação de serviço permite que atacantes remotos derrubem servidores com requisições POST maliciosas, sem necessidade de autenticação. Mais de 12 mil servidores estão expostos na internet. O patch foi lançado em 4 de junho de 2026.
Pontos-chave:
- CVE-2026-28318: falha de consumo incontrolado de recursos no SolarWinds Serv-U, explorável sem autenticação
- Impacto: derrubada do serviço Serv-U via POST com Content-Encoding: deflate
- Exposição: mais de 12 mil servidores rastreados pelo Shodan
Como funciona o ataque
A vulnerabilidade reside no processamento de requisições POST com o cabeçalho Content-Encoding: deflate. Um atacante remoto pode enviar requisições especialmente construídas que consomem recursos do servidor até provocar a queda do processo Serv-U. O ataque não exige autenticação, privilégios prévios ou interação do usuário — basta conectividade com a interface HTTP do servidor.
O SolarWinds Serv-U é um software de transferência de arquivos para Windows e Linux que oferece funcionalidades de Managed File Transfer (MFT) e servidor FTP, permitindo troca segura de arquivos via HTTP/HTTPS, FTP, FTPS e SFTP. A falha foi corrigida no Serv-U 15.5.4 Hotfix 1, lançado em 4 de junho.
Mais de 12 mil expostos
O Shodan rastreia mais de 12 mil servidores Serv-U acessíveis na internet, enquanto o Shadowserver identificou pouco mais de 3.100. Não há dados públicos sobre quantos já aplicaram o patch. A CISA determinou que agências federais americanas apliquem a correção até 19 de junho de 2026, conforme o Binding Operational Directive (BOD) 22-01, e recomendou que organizações do setor privado façam o mesmo. É o segundo alerta recente da agência após a notificação sobre falhas críticas em produtos Hitachi Energy.
Para administradores que não podem aplicar o patch de imediato, o SolarWinds orienta limitar o acesso ao servidor a endereços IP conhecidos e bloquear qualquer requisição POST contendo o cabeçalho “content-encoding”, já que o Serv-U não requer essa funcionalidade para operação normal.
Histórico de falhas no Serv-U
O Serv-U tem histórico recorrente de vulnerabilidades exploradas por grupos de cibercrime e ameaças estatais. A tabela abaixo resume os principais casos documentados:
| Ano | CVE | Tipo | Exploração conhecida |
|---|---|---|---|
| 2021 | CVE-2021-35211 | Execução remota de código | Clop ransomware e hackers chineses DEV-0322 |
| 2024 | CVE-2024-28995 | Path traversal | GreyNoise e Rapid7 sinalizaram exploração ativa |
| 2026 | CVE-2026-28318 | Negação de serviço | CISA confirmou exploração ativa em junho de 2026 |
Nos últimos anos, a CISA catalogou 11 vulnerabilidades em produtos SolarWinds marcadas como exploradas ativamente, incluindo uma usada por grupo de ransomware. O padrão reforça a necessidade de monitoramento contínuo de appliances voltados para a internet, assim como ocorreu com a falha crítica no Magento sinalizada anteriormente pela CISA.
Mitigações imediatas para admins
Atualize para Serv-U 15.5.4 Hotfix 1 o mais rápido possível. Se a atualização não for viável de imediato, implemente regras de firewall ou WAF para bloquear requisições POST com o cabeçalho “content-encoding” na interface HTTP do Serv-U. Restrinja o acesso ao servidor a faixas de IP internas ou VPN corporativa. Monitore logs de queda inesperada do processo Serv-U como possível indicador de exploração.
Organizações que utilizam Serv-U para transferência de arquivos externa devem avaliar a superfície de ataque do produto diante do histórico recorrente de falhas exploradas. A aplicação de patches em janelas curtas é crítica — a CISA fixou o prazo de 14 dias para agências federais, e o mesmo prazo deve ser adotado pelo setor privado.