Am 5. Juni 2026 hat CISA die Schwachstelle CVE-2026-28318 (CVSS 7.5) in den Katalog Known Exploited Vulnerabilities-Katalog aufgenommen und damit die aktive Ausnutzung bestätigt. Die Schwachstelle betrifft SolarWinds Serv-U – einen Multiprotokoll-Dateiserver, der in Unternehmensumgebungen weit verbreitet für die Dateiübertragung eingesetzt wird. Ein nicht authentifizierter Angreifer kann durch einen speziell präparierten HTTP-Request einen vollständigen Denial of Service auslösen. Organisationen, die Serv-U einsetzen, müssen umgehend das Fix-Release 15.5.4 HF1 installieren oder empfohlene Workarounds umsetzen.
Technische Analyse der Schwachstelle
CVE-2026-28318 wird als Schwachstelle unkontrollierter Ressourcenverwendung (CWE-400) klassifiziert, die zu einem Denial-of-Service-Zustand führt. Laut dem Security Advisory von SolarWinds ist der Angriffsvektor äußerst einfach: Ein speziell gestalteter POST-Request mit dem Header Content-Encoding: deflate, der an den Serv-U-Dienst gesendet wird, führt zum Absturz des Prozesses.
Zentrale Merkmale der Schwachstelle:
- Keine Authentifizierung erforderlich – der Angriff ist ohne jegliche Zugangsdaten möglich
- CVSS-Bewertung: 7.5 (hohe Kritikalität)
- Betroffenes Produkt: SolarWinds Serv-U (Multiprotokoll-Dateiserver)
- Behoben in: Version 15.5.4 HF1
- Ausnutzungsstatus: im CISA-KEV-Katalog gelistet (aktive Ausnutzung bestätigt)
Bemerkenswert ist die niedrige Einstiegshürde für die Ausnutzung. Der Header Content-Encoding: deflate ist ein standardisierter HTTP-Header, und zur Erstellung eines bösartigen Requests sind weder komplexe Werkzeuge noch tiefgehendes technisches Know-how erforderlich. Gleichzeitig benötigt der Serv-U-Dienst nach Angaben des Herstellers die Verarbeitung dieses Headers nicht, was dessen Auftreten in Requests zu einem zuverlässigen Indikator für anomale Aktivität macht.
Bedrohungskontext
Zum Zeitpunkt der Veröffentlichung liegen keine öffentlichen Details zu konkreten Ausnutzungsszenarien von CVE-2026-28318 vor. Es ist nicht bekannt, welche Gruppen hinter den Angriffen stehen und wie viele aus dem Internet erreichbare Serv-U-Instanzen kompromittiert wurden.
Der historische Kontext ist jedoch bemerkenswert. Das Produkt SolarWinds Serv-U war wiederholt ein Ziel von Angreifern. Insbesondere wurde die Schwachstelle CVE-2021-35211 von der Gruppe TA505, die mit den Betreibern der Ransomware Cl0p in Verbindung gebracht wird, zur Erlangung des initialen Zugriffs auf Zielsysteme eingesetzt. Wichtig ist zu betonen: Eine direkte Verbindung zwischen der aktuellen Ausnutzung von CVE-2026-28318 und einer bestimmten Gruppe ist derzeit nicht belegt.
Dennoch bildet der erneute Fokus von Angreifern auf Serv-U ein klares Muster: Dateiübertragungsserver bleiben ein vorrangiges Ziel. Sie sind häufig aus dem Internet erreichbar, verarbeiten vertrauliche Daten und laufen nicht selten auf veralteten Softwareversionen.
Auswirkungsbewertung
Auf den ersten Blick mag eine Denial-of-Service-Schwachstelle weniger kritisch erscheinen als Remote Code Execution. Im Kontext eines Dateiservers, der die Datenübertragung innerhalb einer Organisation sicherstellt, können die Auswirkungen jedoch erheblich sein:
- Störung von Geschäftsprozessen: Unterbrechung des Dateiaustauschs zwischen Fachbereichen, Partnern und Kunden
- Bestandteil eines komplexen Angriffs: Eine DoS-Schwachstelle kann als Ablenkungsmanöver bei parallelen Angriffsversuchen über andere Vektoren dienen oder dazu genutzt werden, einen Neustart des Dienstes in einer verwundbaren Konfiguration zu erzwingen
- Wiederholbarkeit: Da keine Authentifizierung erforderlich ist, lässt sich der Angriff automatisieren und der Dienst kann über unbestimmte Zeit in einem nicht funktionsfähigen Zustand gehalten werden
Am stärksten gefährdet sind Organisationen, deren Serv-U-Instanzen ohne zusätzliche Traffic-Filterung direkt aus dem Internet erreichbar sind. Zivile Bundesbehörden der USA sind im Rahmen einer CISA-Direktive verpflichtet, die Schwachstelle bis zum 19. Juni 2026 zu beheben.
Empfehlungen zum Schutz
Die Reaktionspriorität ist hoch. Empfohlene Maßnahmen:
- Update einspielen: Aktualisieren Sie SolarWinds Serv-U auf Version 15.5.4 HF1, in der die Schwachstelle behoben ist
- Header auf Netzwerkebene blockieren: Falls ein sofortiges Update nicht möglich ist, konfigurieren Sie einen Reverse Proxy oder WAF so, dass eingehende Requests mit dem Header
Content-Encodingblockiert werden. Nach Herstellerempfehlung nutzt Serv-U diese Funktionalität nicht, sodass die Blockierung den legitimen Betrieb nicht beeinträchtigt - Netzwerkzugriff beschränken: Erlauben Sie Verbindungen zu Serv-U nur von bekannten vertrauenswürdigen IP-Adressen. Muss der Dienst aus dem Internet erreichbar sein, verwenden Sie Allowlists
- Logs prüfen: Analysieren Sie die Webserver-Logs auf POST-Requests mit dem Header
Content-Encoding: deflate, insbesondere von unbekannten Quellen, die Abstürzen des Dienstes vorausgehen - Notwendigkeit externen Zugriffs bewerten: Prüfen Sie, ob Serv-U hinter einer VPN-Lösung platziert werden kann, sofern ein direkter Internetzugang nicht zwingend erforderlich ist
Die Aufnahme von CVE-2026-28318 in den CISA-KEV-Katalog trotz fehlender öffentlicher Details zur Ausnutzung deutet darauf hin, dass Angriffe bereits beobachtet wurden, Informationen dazu jedoch noch nicht vollständig offengelegt sind. Organisationen sollten nicht auf ausführliche Incident-Reports warten – das Update auf Version 15.5.4 HF1 oder die Blockierung des Content-Encoding-Headers auf Netzwerkebene sollte innerhalb von Tagen, nicht Wochen erfolgen.
