La Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**) ha advertido hoy que actores de amenazas están explotando activamente una falla crítica y recientemente parcheada en el software de transferencia de archivos **SolarWinds Serv-U**. ### La falla crítica DoS de Serv-U La vulnerabilidad, identificada como **CVE-2026-28318**, es una falla de denegación de servicio (DoS) de alta gravedad que surge de una debilidad de consumo de recursos no controlado. **SolarWinds** lanzó **Serv-U 15.5.4 Hotfix 1** el jueves para abordar este problema. Según **SolarWinds**, la falla hace que **Serv-U** sea susceptible a solicitudes POST especialmente diseñadas que pueden bloquear el servicio sin requerir autenticación. Estos ataques aprovechan las cabeceras `Content-Encoding: deflate`. Los atacantes remotos pueden explotar esta falla de seguridad con baja complejidad, sin requerir privilegios ni interacción del usuario. **Serv-U** es la solución de transferencia de archivos de **SolarWinds** para Windows y Linux, que ofrece capacidades de Managed File Transfer (MFT) y servidor FTP para el intercambio seguro de archivos a través de HTTP/HTTPS, FTP, FTPS y SFTP. ### Explotación activa y directiva de CISA Días después de que **SolarWinds** lanzara su parche, **CISA** marcó **CVE-2026-28318** como explotada activamente en la naturaleza. La agencia la agregó de inmediato a su **Catálogo de Vulnerabilidades Explotadas Conocidas**, exigiendo que todas las agencias del Poder Ejecutivo Civil Federal apliquen parches a sus servidores antes del 19 de junio, de acuerdo con la **Directiva Operacional Vinculante (BOD) 22-01**. Si bien **BOD 22-01** se dirige específicamente a entidades del gobierno de EE. UU., **CISA** ha instado encarecidamente a todos los defensores de redes, incluidos los del sector privado, a asegurar sus redes contra los ataques en curso que aprovechan **CVE-2026-28318** sin demora. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", declaró **CISA**. "Aplique mitigaciones según las instrucciones del proveedor, siga la guía aplicable de **BOD 22-01** para servicios en la nube, o descontinúe el uso del producto si las mitigaciones no están disponibles". ### Estrategias de mitigación Para los administradores que no puedan implementar el parche de inmediato, **SolarWinds** aconseja limitar el acceso a **Serv-U** a direcciones IP conocidas y confiables. Además, bloquear cualquier solicitud POST que contenga `content-encoding` puede servir como una mitigación temporal, ya que el servicio vulnerable **Serv-U** no requiere esta funcionalidad. Las plataformas de inteligencia de Internet indican una superficie de ataque significativa: **Shodan** rastrea más de 12,000 servidores **Serv-U** expuestos en línea, mientras que **Shadowserver** identifica poco más de 3,100. El número de estos servidores que ya han sido parcheados sigue siendo desconocido. .jpg) *Servidores Serv-U expuestos en línea (Shodan)* ### Un historial de vulnerabilidades en Serv-U **SolarWinds Serv-U** ha sido un objetivo recurrente para grupos de cibercrimen y hackers respaldados por estados. En los últimos años, múltiples vulnerabilidades críticas han sido explotadas para obtener acceso a datos corporativos y de clientes confidenciales. Por ejemplo, en 2021, la banda de ransomware **Clop** explotó una vulnerabilidad de ejecución remota de código (RCE) en **Serv-U**, **CVE-2021-35211**, para infiltrarse en redes corporativas. Al mismo tiempo, el grupo de hackers chino **DEV-0322** también utilizó exploits para **CVE-2021-35211** en ataques de día cero. Más recientemente, en junio de 2024, las firmas de ciberseguridad **GreyNoise** y **Rapid7** observaron la explotación activa de otra falla en **Serv-U**, una vulnerabilidad de recorrido de ruta rastreada como **CVE-2024-28995**. ### La superficie de ataque más amplia de SolarWinds En los últimos años, **CISA** ha catalogado 11 vulnerabilidades en varios productos de **SolarWinds** como explotadas activamente en ataques, y al menos una también ha sido abusada por bandas de ransomware. Este historial subraya la importancia crítica para las organizaciones que utilizan productos de **SolarWinds** de mantener rigurosos programas de parches e implementar sólidas medidas de seguridad.