A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou hoje que atores de ameaças estão explorando ativamente uma falha crítica e recentemente corrigida no software de transferência de arquivos SolarWinds Serv-U. ### A Falha Crítica DoS no Serv-U A vulnerabilidade, identificada como CVE-2026-28318, é uma falha de negação de serviço (DoS) de alta gravidade decorrente de uma fraqueza de consumo de recursos não controlado. A SolarWinds lançou o Serv-U 15.5.4 Hotfix 1 na quinta-feira para corrigir esse problema. De acordo com a SolarWinds, a falha torna o Serv-U suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem a necessidade de autenticação. Esses ataques utilizam cabeçalhos `Content-Encoding: deflate`. Atacantes remotos podem explorar essa falha de segurança com baixa complexidade, sem exigir privilégios ou interação do usuário. O Serv-U é a solução de transferência de arquivos da SolarWinds para Windows e Linux, oferecendo capacidades de Managed File Transfer (MFT) e servidor FTP para troca segura de arquivos via HTTP/HTTPS, FTP, FTPS e SFTP. ### Exploração Ativa e Diretiva da CISA Dias após a SolarWinds lançar seu patch, a CISA sinalizou a CVE-2026-28318 como sendo explorada ativamente na natureza. A agência adicionou-a prontamente ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas, determinando que todas as agências do Ramo Executivo Civil Federal apliquem o patch em seus servidores até 19 de junho, em conformidade com a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD 22-01 vise especificamente entidades do governo dos EUA, a CISA instou fortemente todos os defensores de rede, incluindo os do setor privado, a protegerem suas redes contra ataques contínuos que exploram a CVE-2026-28318 sem demora. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", afirmou a CISA. "Aplique mitigações de acordo com as instruções do fornecedor, siga a orientação aplicável da BOD 22-01 para serviços em nuvem ou descontinue o uso do produto se as mitigações não estiverem disponíveis." ### Estratégias de Mitigação Para administradores que não conseguem implantar o patch imediatamente, a SolarWinds recomenda limitar o acesso ao Serv-U a endereços IP conhecidos e confiáveis. Além disso, bloquear quaisquer requisições POST contendo `content-encoding` pode servir como uma mitigação temporária, pois o serviço Serv-U vulnerável não requer essa funcionalidade. Plataformas de inteligência da Internet indicam uma superfície de ataque significativa: o Shodan rastreia mais de 12.000 servidores Serv-U expostos online, enquanto o Shadowserver identifica pouco mais de 3.100. O número de servidores que já foram corrigidos permanece desconhecido. .jpg) *Servidores Serv-U expostos online (Shodan)* ### Um Histórico de Vulnerabilidades no Serv-U O SolarWinds Serv-U tem sido um alvo recorrente para grupos de cibercrime e hackers apoiados por estados. Nos últimos anos, múltiplas vulnerabilidades críticas foram exploradas para obter acesso a dados corporativos e de clientes confidenciais. Por exemplo, em 2021, a gangue de ransomware Clop explorou uma vulnerabilidade de execução remota de código (RCE) no Serv-U, CVE-2021-35211, para invadir redes corporativas. Concomitantemente, o grupo de hackers chinês DEV-0322 também utilizou exploits para a CVE-2021-35211 em ataques zero-day. Mais recentemente, em junho de 2024, as empresas de segurança cibernética GreyNoise e Rapid7 observaram a exploração ativa de outra falha no Serv-U, uma vulnerabilidade de travessia de caminho rastreada como CVE-2024-28995. ### A Superfície de Ataque Mais Ampla da SolarWinds Nos últimos anos, a CISA catalogou 11 vulnerabilidades em vários produtos da SolarWinds como sendo ativamente exploradas em ataques, com pelo menos uma sendo abusada também por gangues de ransomware. Este histórico ressalta a importância crítica para as organizações que utilizam produtos da SolarWinds manterem cronogramas de patching rigorosos e implementarem medidas de segurança robustas.