### CISA warnt vor aktiver Ausnutzung Die **U.S. Cybersecurity and Infrastructure Security Agency (CISA)** hat kürzlich ihren Katalog bekannter ausgenutzter Schwachstellen (**Known Exploited Vulnerabilities - KEV**) aktualisiert, um eine kritische Schwachstelle in der **SolarWinds Serv-U** Multi-Protocol File Server Software aufzunehmen. Diese Aufnahme signalisiert die bestätigte aktive Ausnutzung der Schwachstelle in realen Angriffen und fordert Organisationen auf, Patching- und Abhilfemaßnahmen zu priorisieren. ### Verständnis von CVE-2026-28318: Eine DoS-Bedrohung Die als **CVE-2026-28318** identifizierte Schwachstelle weist einen CVSS-Score von 7,5 auf und wird als schwerwiegend eingestuft. Sie manifestiert sich als unkontrollierte Ressourcenverbrauchs-Schwachstelle, die zu einem Denial-of-Service (DoS)-Zustand führt. Laut **SolarWinds** kann der **Serv-U**-Dienst ohne Authentifizierung abstürzen, wenn er "speziell präparierten POST-Anfragen mit `Content-Encoding: deflate`" ausgesetzt ist. Das bedeutet, dass ein entfernter Angreifer den Dienst potenziell unzugänglich machen könnte, was kritische Dateitransferoperationen stört und die Geschäftskontinuität beeinträchtigt. ### Sofortige Maßnahmen erforderlich: Patching und Abhilfen **SolarWinds** hat einen Patch veröffentlicht, um dieses kritische Problem in **SolarWinds Serv-U** Version 15.5.4 HF1 zu beheben. Allen Benutzern wird dringend empfohlen, sofort auf diese gepatchte Version zu aktualisieren. Für diejenigen, die nicht sofort patchen können, gehören zu den vorläufigen Abhilfemaßnahmen: * Beschränkung des Zugriffs auf **Serv-U**-Instanzen auf bekannte und vertrauenswürdige IP-Adressen. * Blockieren aller eingehenden Anfragen, die "content-encoding" enthalten, da diese Funktionalität vom anfälligen Dienst nicht benötigt wird und ihre Anwesenheit auf einen potenziellen Angriffsvektor hinweist. ### CISA-Anweisung und historischer Präzedenzfall Obwohl spezifische Details zu den aktuellen Ausnutzungskampagnen, einschließlich der Identitäten der Bedrohungsakteure oder der Anzahl der kompromittierten Instanzen, nicht bekannt gegeben wurden, hat **CISA** angeordnet, dass alle Bundesbehörden des zivilen Exekutivzweigs (FCEB) die Behebung für **CVE-2026-28318** bis zum 19. Juni 2026 anwenden müssen. Dies ist nicht das erste Mal, dass **Serv-U** ins Visier genommen wurde. Die Software hat eine Geschichte kritischer Schwachstellen, die von hochentwickelten Bedrohungsakteuren ausgenutzt werden. Insbesondere wurden Schwachstellen in **Serv-U** zuvor von Gruppen genutzt, darunter staatlich unterstützte Einheiten und Ransomware-Gangs wie die berüchtigte **Cl0p Ransomware Gang**. Diese Geschichte unterstreicht die überragende Bedeutung, **Serv-U**-Installationen auf dem neuesten Stand und sicher zu halten, um sich gegen sich entwickelnde Bedrohungen zu schützen.