5 червня 2026 року CISA додала вразливість CVE-2026-28318 (CVSS 7.5) до каталогу Known Exploited Vulnerabilities, підтвердивши факт активної експлуатації. Вразливість зачіпає SolarWinds Serv-U — багатопротокольний файловий сервер, який широко використовують для передавання файлів у корпоративних середовищах. Неавтентифікований зловмисник може спричинити повну відмову в обслуговуванні спеціально сформованим HTTP-запитом. Організаціям, які використовують Serv-U, необхідно негайно встановити виправлення версії 15.5.4 HF1 або застосувати обхідні заходи захисту.
Технічний аналіз вразливості
CVE-2026-28318 класифікується як вразливість неконтрольованого споживання ресурсів (CWE-400), що призводить до стану відмови в обслуговуванні. Згідно з бюлетенем безпеки SolarWinds, вектор атаки вкрай простий: спеціально сформований POST-запит із заголовком Content-Encoding: deflate, надісланий до сервісу Serv-U, спричиняє аварійне завершення процесу.
Ключові характеристики вразливості:
- Автентифікація не потрібна — атаку можна здійснити без будь-яких облікових даних
- Оцінка CVSS: 7.5 (високий рівень серйозності)
- Уражений продукт: SolarWinds Serv-U (багатопротокольний файловий сервер)
- Виправлено в: версії 15.5.4 HF1
- Статус експлуатації: додана до каталогу CISA KEV (підтверджена активна експлуатація)
Привертає увагу низький поріг для експлуатації. Заголовок Content-Encoding: deflate — стандартний HTTP-заголовок, і для формування шкідливого запиту не потрібні ані складні інструменти, ані глибокі технічні знання. При цьому сам сервіс Serv-U, як зазначає вендор, не потребує обробки цього заголовка, що робить його наявність у запиті надійним індикатором аномальної активності.
Контекст загрози
На момент публікації публічні деталі щодо конкретних сценаріїв експлуатації CVE-2026-28318 відсутні. Не встановлено, які угруповання стоять за атаками і скільки екземплярів Serv-U, доступних з інтернету, було скомпрометовано.
Утім, історичний контекст заслуговує на увагу. Продукт SolarWinds Serv-U неодноразово ставав мішенню для зловмисників. Зокрема, вразливість CVE-2021-35211 використовувалася угрупованням TA505, пов’язаним з операторами програми-вимагача Cl0p, для отримання початкового доступу до цільових систем. Важливо наголосити: прямий зв’язок між поточною експлуатацією CVE-2026-28318 і будь-яким конкретним угрупованням наразі не підтверджено.
Попри це сам факт повторного інтересу зловмисників до Serv-U формує стійкий патерн: файлові сервери передавання даних залишаються пріоритетною ціллю. Вони часто доступні з інтернету, обробляють конфіденційні дані й нерідко працюють на застарілих версіях програмного забезпечення.
Оцінка впливу
На перший погляд, вразливість типу «відмова в обслуговуванні» може здатися менш критичною порівняно з віддаленим виконанням коду. Проте в контексті файлового сервера, що забезпечує передавання даних в організації, наслідки можуть бути значними:
- Порушення бізнес-процесів: зупинка файлового обміну між підрозділами, партнерами та клієнтами
- Компонент складної атаки: DoS-вразливість може використовуватися як відволікальний маневр під час паралельного проникнення через інші вектори або для примушення до перезапуску сервісу в уразливій конфігурації
- Повторюваність: відсутність вимоги автентифікації дає змогу автоматизувати атаку й підтримувати сервіс у неробочому стані необмежено довго
Найбільшому ризику піддаються організації, в яких екземпляри Serv-U доступні безпосередньо з інтернету без додаткових засобів фільтрації трафіку. Федеральні цивільні агенції США зобов’язані усунути вразливість до 19 червня 2026 року у межах директиви CISA.
Рекомендації щодо захисту
Пріоритет реагування — високий. Рекомендовані дії:
- Встановіть оновлення: оновіть SolarWinds Serv-U до версії 15.5.4 HF1, у якій вразливість усунено
- Блокуйте заголовок на рівні мережі: якщо негайне оновлення неможливе, налаштуйте зворотний проксі-сервер або WAF для блокування вхідних запитів, що містять заголовок
Content-Encoding. Згідно з рекомендаціями вендора, сервіс Serv-U не використовує цю функціональність, тому блокування не вплине на легітимну роботу - Обмежте мережевий доступ: дозволяйте підключення до Serv-U лише з відомих довірених IP-адрес. Якщо сервіс має бути доступним з інтернету — використовуйте списки дозволених адрес
- Перевірте журнали: проаналізуйте журнали веб-сервера на предмет POST-запитів із заголовком
Content-Encoding: deflate, особливо від невідомих джерел, що передували аварійним зупинкам сервісу - Оцініть необхідність зовнішнього доступу: розгляньте можливість розміщення Serv-U за VPN, якщо прямий доступ з інтернету не є обов’язковою вимогою
Включення CVE-2026-28318 до каталогу CISA KEV за відсутності публічних деталей експлуатації вказує на те, що атаки вже зафіксовані, але інформація про них ще не розкрита в повному обсязі. Організаціям не варто чекати появи детальних звітів про інциденти — оновлення до версії 15.5.4 HF1 або блокування заголовка Content-Encoding на мережевому рівні слід виконати в найближчі дні, а не тижні.
