CISA alerta para exploração ativa de falha no SolarWinds Serv-U

A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) alertou para a exploração ativa de uma vulnerabilidade de elevada gravidade no SolarWinds Serv-U, uma plataforma de transferência de ficheiros utilizada em ambientes Windows e Linux.

A falha, identificada como CVE-2026-28318, foi corrigida pela SolarWinds através da atualização Serv-U 15.5.4 Hotfix 1. Segundo o fabricante, trata-se de uma vulnerabilidade de consumo descontrolado de recursos que pode ser explorada através de pedidos POST especialmente manipulados.

O problema afeta o software Serv-U, utilizado para serviços de transferência segura de ficheiros através dos protocolos HTTP/HTTPS, FTP, FTPS e SFTP. Um atacante remoto pode explorar a vulnerabilidade sem necessidade de autenticação, privilégios ou interação do utilizador. De acordo com a SolarWinds, o ataque recorre ao cabeçalho Content-Encoding: deflate para provocar a falha do serviço Serv-U, tornando os servidores indisponíveis.

Após a divulgação da correção, a CISA confirmou que a vulnerabilidade está a ser explorada em ambiente real e adicionou-a ao catálogo de Known Exploited Vulnerabilities (KEV). As agências federais norte-americanas têm até 19 de junho para aplicar as correções necessárias.

Para as organizações que não consigam instalar imediatamente a atualização, a SolarWinds recomenda limitar o acesso aos servidores a endereços conhecidos e bloquear pedidos POST que utilizem o cabeçalho ‘content-encoding’, uma vez que esta funcionalidade não é necessária ao funcionamento normal do serviço.

Segundo dados da plataforma Shodan, existem mais de 12 mil servidores Serv-U expostos à Internet, embora não seja conhecido o número de sistemas já atualizados. A Shadowserver Foundation identifica mais de 3.100 instâncias acessíveis publicamente.

A CISA sublinha que este tipo de vulnerabilidade continua a ser um vetor frequente de ataque, recomendando a aplicação imediata das atualizações de segurança ou, quando tal não for possível, a adoção das medidas de mitigação disponibilizadas pelo fabricante.

O SolarWinds Serv-U tem sido alvo recorrente de grupos de cibercrime e de ameaças patrocinadas por Estados. Em 2021, o grupo de ransomware Clop explorou a vulnerabilidade CVE-2021-35211 para comprometer redes empresariais. Mais recentemente, em 2024, a falha CVE-2024-28995 também foi identificada como estando a ser explorada ativamente.

Nos últimos anos, a CISA assinalou pelo menos 11 vulnerabilidades em produtos SolarWinds como exploradas em ataques reais, reforçando a necessidade de monitorização e atualização contínua destes sistemas.