CISA تُنبّه: ثغرة DoS في SolarWinds Serv-U تُستغل بنشاط — الموعد النهائي الفيدرالي 19 يونيو

أضافت CISA المعرف CVE-2026-28318 إلى كتالوج الثغرات المُستغلة المعروفة في 5 يونيو 2026، مؤكدةً أن المهاجمين يستغلون بنشاط ثغرة رفض الخدمة (DoS) في برنامج خادم الملفات متعدد البروتوكولات SolarWinds Serv-U. أمام وكالات الفرع التنفيذي المدني الفيدرالي حتى 19 يونيو لتطبيق التصحيح. يجب على المؤسسات في القطاع الخاص التي تستخدم Serv-U اعتبار هذا الموعد النهائي إشارة قوية للتصحيح الفوري.

ما تفعله الثغرة

CVE-2026-28318 هي ثغرة استهلاك غير مُتحكَّم فيه للموارد بدرجة CVSS 7.5 (شديدة الخطورة). الهجوم مباشر: إرسال طلب POST مُصمَّم خصيصًا مع رأس Content-Encoding: deflate يُتسبب في تعطيل خدمة Serv-U دون الحاجة إلى أي مصادقة. يؤدي التعطيل إلى إنهاء خدمة نقل الملفات، مما يقطع الوصول إلى عمليات نقل الملفات المُدارة وجلسات SFTP وعمليات FTP حتى إعادة تشغيل الخدمة يدويًا.

هذه ثغرة رفض خدمة، وليست تنفيذ كود عن بُعد. لا يمكن للمهاجم استخدامها لسرقة الملفات أو التحرك جانبيًا عبر الشبكة عبر هذه الثغرة وحدها. لكن للمؤسسات التي تعتمد على Serv-U في عمليات نقل الملفات الإنتاجية — خاصة في الخدمات المالية والرعاية الصحية والحكومة — فإن القدرة على تعطيل الخدمة مرارًا وتكرارًا دون مصادقة تمثل خطرًا تشغيليًا كبيرًا.

التصحيح والإجراءات التخفيفية الفورية

صَحَّحت SolarWinds الثغرة في إصدار Serv-U 15.5.4 HF1، الذي صدر في وقت سابق من هذا الأسبوع. يجب على المؤسسات التي تستخدم إصدارات أقدم التحديث فورًا. بالنسبة للبيئات التي لا يمكن فيها تطبيق التصحيح الطارئ فورًا، توصي SolarWinds وCISA بإجراءين تخفيفيين مؤقتين: تقييد الوصول إلى خدمة Serv-U لعناوين IP معروفة فقط، وحظر أي طلبات واردة تحتوي على رأس Content-Encoding، لأن الوظيفة المُعرَّضة للخطر لا تتطلبه.

لماذا تحظى ثغرات SolarWinds باهتمام متزايد

لدى SolarWinds تاريخ من ثغرات Serv-U المُستغلة التي تتجاوز هجوم سلسلة التوريد SUNBURST لعام 2020، وهو الحادث الأكثر ارتباطًا بالشركة. في عام 2021، كشفت Microsoft أن جهة تهديد مرتبطة بالصين كانت تستغل CVE-2021-35211، وهي ثغرة تنفيذ كود عن بُعد في Serv-U، لاستهداف مقاولي الدفاع والبنية التحتية الحيوية الأخرى. استغلت مجموعة برمجيات الفدية Cl0p لاحقًا ثغرات مختلفة في Serv-U للوصول الأولي في عام 2022. يعني هذا النمط أن ثغرات Serv-U تجذب الجهات الفاعلة المتطورة، وليس فقط مشغلي البرمجيات الخبيثة العادية.

لم تكشف CISA حتى الآن عمن يقف وراء الاستغلال النشط لـ CVE-2026-28318، أو عدد مثيلات Serv-U المعرضة للإنترنت التي تم استهدافها، أو كيف تبدو سلسلة الهجوم المحددة بما يتجاوز تقنية التعطيل الأولية. غياب هذا التفصيل ليس مطمئنًا — في حوادث SolarWinds السابقة، لم يُكشف عن النطاق الكامل للاستغلال إلا بعد أسابيع من تحذيرات CISA.

تقييم التعرض

تُظهر عمليات البحث في Shodan وCensys عن مثيلات SolarWinds Serv-U المعرضة للإنترنت باستمرار عشرات الآلاف من نقاط النهاية القابلة للوصول علنًا. العديد منها يعمل بإصدارات قديمة. الطبيعة غير المُوثَّقة لهذا الهجوم — لا حاجة لبيانات اعتماد، فقط طلب HTTP مُشوَّه — تعني أن حاجز الاستغلال منخفض، وأن المسح الآلي للمثيلات المُعرَّضة للخطر سيبدأ فورًا إذا لم يكن قد بدأ بالفعل. يجب على المؤسسات التحقق من إصدار Serv-U الخاص بها، وتطبيق الإصدار 15.5.4 HF1، ومراجعة تكوينات التحكم في الوصول بغض النظر عما إذا كانت تعتقد أنها قد استُهدفت.