5 июня 2026 года CISA внесла уязвимость CVE-2026-28318 (CVSS 7.5) в каталог Known Exploited Vulnerabilities, подтвердив факт активной эксплуатации. Уязвимость затрагивает SolarWinds Serv-U — многопротокольный файловый сервер, широко используемый для передачи файлов в корпоративных средах. Неаутентифицированный злоумышленник может вызвать полный отказ в обслуживании специально сформированным HTTP-запросом. Организациям, использующим Serv-U, необходимо немедленно установить исправление версии 15.5.4 HF1 или применить обходные меры защиты.
Технический анализ уязвимости
CVE-2026-28318 классифицируется как уязвимость неконтролируемого потребления ресурсов (CWE-400), приводящая к состоянию отказа в обслуживании. Согласно бюллетеню безопасности SolarWinds, вектор атаки предельно прост: специально сформированный POST-запрос с заголовком Content-Encoding: deflate, направленный к сервису Serv-U, вызывает аварийное завершение процесса.
Ключевые характеристики уязвимости:
- Аутентификация не требуется — атака возможна без каких-либо учётных данных
- Оценка CVSS: 7.5 (высокая степень серьёзности)
- Затронутый продукт: SolarWinds Serv-U (многопротокольный файловый сервер)
- Исправлено в: версии 15.5.4 HF1
- Статус эксплуатации: внесена в каталог CISA KEV (подтверждена активная эксплуатация)
Обращает на себя внимание низкий порог входа для эксплуатации. Заголовок Content-Encoding: deflate — стандартный HTTP-заголовок, и для формирования вредоносного запроса не требуется ни сложного инструментария, ни глубоких технических знаний. При этом сам сервис Serv-U, как указывает вендор, не нуждается в обработке этого заголовка, что делает его присутствие в запросе надёжным индикатором аномальной активности.
Контекст угрозы
На момент публикации публичные детали о конкретных сценариях эксплуатации CVE-2026-28318 отсутствуют. Не установлено, какие группировки стоят за атаками и сколько экземпляров Serv-U, доступных из интернета, были скомпрометированы.
Однако исторический контекст заслуживает внимания. Продукт SolarWinds Serv-U неоднократно становился мишенью для злоумышленников. В частности, уязвимость CVE-2021-35211 использовалась группировкой TA505, связанной с операторами программы-вымогателя Cl0p, для получения первоначального доступа к целевым системам. Важно подчеркнуть: прямая связь между текущей эксплуатацией CVE-2026-28318 и какой-либо конкретной группировкой на данный момент не подтверждена.
Тем не менее сам факт повторного интереса злоумышленников к Serv-U формирует устойчивый паттерн: файловые серверы передачи данных остаются приоритетной целью. Они часто доступны из интернета, обрабатывают конфиденциальные данные и нередко работают на устаревших версиях программного обеспечения.
Оценка воздействия
На первый взгляд, уязвимость типа «отказ в обслуживании» может показаться менее критичной по сравнению с удалённым выполнением кода. Однако в контексте файлового сервера, обеспечивающего передачу данных в организации, последствия могут быть значительными:
- Нарушение бизнес-процессов: остановка файлового обмена между подразделениями, партнёрами и клиентами
- Компонент сложной атаки: DoS-уязвимость может использоваться как отвлекающий манёвр при параллельном проникновении через другие векторы или для принуждения к перезапуску сервиса в уязвимой конфигурации
- Повторяемость: отсутствие требования аутентификации позволяет автоматизировать атаку и поддерживать сервис в нерабочем состоянии неопределённо долго
Наибольшему риску подвержены организации, в которых экземпляры Serv-U доступны напрямую из интернета без дополнительных средств фильтрации трафика. Федеральные гражданские агентства США обязаны устранить уязвимость до 19 июня 2026 года в рамках директивы CISA.
Рекомендации по защите
Приоритет реагирования — высокий. Рекомендуемые действия:
- Установите обновление: обновите SolarWinds Serv-U до версии 15.5.4 HF1, в которой уязвимость устранена
- Блокируйте заголовок на уровне сети: если немедленное обновление невозможно, настройте обратный прокси-сервер или WAF для блокировки входящих запросов, содержащих заголовок
Content-Encoding. Согласно рекомендациям вендора, сервис Serv-U не использует эту функциональность, поэтому блокировка не повлияет на легитимную работу - Ограничьте сетевой доступ: разрешите подключения к Serv-U только с известных доверенных IP-адресов. Если сервис должен быть доступен из интернета — используйте списки разрешённых адресов
- Проверьте журналы: проанализируйте логи веб-сервера на предмет POST-запросов с заголовком
Content-Encoding: deflate, особенно от неизвестных источников, предшествующих аварийным остановкам сервиса - Оцените необходимость внешнего доступа: рассмотрите возможность размещения Serv-U за VPN, если прямой доступ из интернета не является обязательным требованием
Включение CVE-2026-28318 в каталог CISA KEV при отсутствии публичных деталей эксплуатации указывает на то, что атаки уже зафиксированы, но информация о них ещё не раскрыта в полном объёме. Организациям не следует ждать появления подробных отчётов об инцидентах — обновление до версии 15.5.4 HF1 или блокировка заголовка Content-Encoding на сетевом уровне должны быть выполнены в ближайшие дни, а не недели.
