CISA تؤكد أن SolarWinds Serv-U تحت هجوم نشط — الوكالات الاتحادية لديها حتى 19 يونيو لتثبيت التصحيح

أضافت CISA الثغرة CVE-2026-28318 إلى كتالوج الثغرات المعروفة والمستغلة (KEV) في 8 يونيو 2026، مؤكدة أن المهاجمين يستغلون بنشاط خللاً في رفض الخدمة في SolarWinds Serv-U. بموجب التوجيه التنفيذي الملزم 22-01 (BOD 22-01)، يجب على جميع وكالات الفرع التنفيذي الاتحادي المدني (FCEB) تطبيق التصحيح بحلول 19 يونيو 2026 — وهي نافذة مدتها أحد عشر يومًا تشير إلى مدى جدية CISA في التعامل مع هذا الأمر.

أصدرت SolarWinds تصحيحًا: Serv-U 15.5.4 Hotfix 1. المنظمات التي لا تستطيع التصحيح فورًا لديها إجراءات تخفيف مؤقتة محددة متاحة. لا يوجد أي غموض حول الخطورة — تم تأكيد الاستغلال والهجوم غير موثق، ولا يتطلب أي بيانات اعتماد أو وصول مسبق.

ما هو Serv-U ومن يشغله

SolarWinds Serv-U هو خادم نقل ملفات متعدد البروتوكولات للمؤسسات يدعم FTP و SFTP و FTPS و HTTP و HTTPS. يتم نشره على نطاق واسع عبر الوكالات الحكومية والمؤسسات المالية ومنظمات الرعاية الصحية والشركات الكبيرة التي تحتاج إلى بنية تحتية لإدارة نقل الملفات قابلة للتدقيق — وهي بالضبط البيئات التي لديها متطلبات امتثال صارمة حول حركة البيانات. ينافس Serv-U في نفس مساحة MOVEit Transfer و GoAnywhere MFT، وهما منتجان تم استغلالهما على نطاق واسع في السنوات السابقة.

قاعدة التثبيت كبيرة. يُستخدم Serv-U من قبل آلاف المنظمات عالميًا، والعديد منها يديره كخط أنابيب بيانات حاسم — ملفات الدفع الواردة، نقل السجلات الطبية، الإيداعات التنظيمية. تعطل مثيل Serv-U ليس مجرد إزعاج بسيط؛ إنه يكسر سير العمل الذي تعتمد عليه الأنظمة الأخرى.

الثغرة: كيف يعمل الهجوم

تُصنف CVE-2026-28318 على أنها CWE-400: استهلاك الموارد غير المنضبط. الخلل يكمن في كيفية تعامل Serv-U مع طلبات HTTP POST التي تتضمن رأس Content-Encoding: deflate.

يخبر رأس Content-Encoding: deflate خادم الويب أن جسم الطلب قد تم ضغطه باستخدام خوارزمية deflate، وأن على الخادم فك ضغطه قبل المعالجة. يستخدم عميل شرعي هذا لتقليل عرض النطاق عند إرسال حمولات كبيرة. في حالة Serv-U، يؤدي خلل في معالجة فك الضغط إلى أن طلبًا مصممًا — حيث يتم تصميم الإدخال المضغوط ليتوسع إلى حجم كبير بشكل غير متناسب عند فك الضغط — يتسبب في استهلاك خدمة Serv-U لجميع الذاكرة أو وحدة المعالجة المركزية المتاحة حتى تتعطل. يُطلق على هذا النوع من الهجوم أحيانًا اسم "قنبلة مضغوطة" أو قنبلة فك الضغط، مُكيفة لـ HTTP.

التفاصيل الحاسمة هي أنه لا يلزم أي توثيق. يمكن لمهاجم على الإنترنت العام إرسال طلب POST واحد خبيث إلى مثيل Serv-U وتعطيل الخدمة. ليست هناك حاجة إلى حساب صالح، أو تخمين بيانات الاعتماد، أو استغلال ثغرة ثانية أولاً. سطح الهجوم هو كل مثيل Serv-U يمكن الوصول إليه على الشبكة.

ما يجب فعله الآن

صحيح فورًا. قم بالترقية إلى Serv-U 15.5.4 Hotfix 1. نشرت SolarWinds التحديث عبر قناة تحديث البرامج القياسية الخاصة بها. هذا هو الإصلاح الكامل الوحيد.

إذا تعذر التصحيح فورًا بسبب نوافذ إدارة التغيير أو القيود التشغيلية، فطبق كلا الإجراءين التخفيفيين المؤقتين التاليين بالتوازي:

• السماح بعناوين IP: قصر الوصول إلى واجهة HTTP/HTTPS لـ Serv-U على عناوين أو نطاقات IP معروفة وموثوقة. هذا لا يصلح الثغرة ولكنه يزيل سطح الهجوم عن بعد غير الموثق للعناوين خارج قائمة السماح.
• حظر طلبات POST التي تحتوي على رأس content-encoding: إذا كان وكيل عكسي أو جدار حماية تطبيق ويب أو جهاز شبكة موجودًا أمام Serv-U، فقم بتكوين قاعدة لإسقاط أو رفض طلبات HTTP POST التي تتضمن رأس Content-Encoding قبل وصولها إلى خدمة Serv-U. تدعم معظم منصات WAF المؤسسية هذا كقاعدة بسيطة لمطابقة الرأس.

كلا الإجراءين هما حلول بديلة، وليست إصلاحات. إنها تقلل من قابلية الاستغلال بينما يتم اختبار التصحيح ونشره ولكنها لا تقضي على الثغرة الأساسية. تعامل معها كإجراءات مؤقتة لساعات إلى أيام، وليس كحلول لأسابيع.

BOD 22-01: ما يعنيه أبعد من الوكالات الاتحادية

التوجيه التنفيذي الملزم 22-01، الصادر عن CISA في نوفمبر 2021، يطلب من جميع وكالات FCEB معالجة الثغرات المدرجة في كتالوج KEV ضمن أطر زمنية محددة — عادة 14 يومًا للثغرات المستغلة بنشاط، على الرغم من أن CISA يمكنها تحديد نوافذ أقصر للحالات الحرجة. ليس للتوجيه سلطة قانونية على منظمات القطاع الخاص.

من الناحية العملية، أصبح BOD 22-01 معيارًا فعليًا للتصحيح للمؤسسات والمقاولين الحكوميين. العديد من المنظمات التي ليست وكالات FCEB اعتمدت جداول زمنية لمعالجة KEV كمعيار داخلي لها — جزئيًا لأنه سياسة محددة بوضوح وقابلة للدفاع، وجزئيًا لأن اختيارات CISA لـ KEV لديها سجل قوي في التنبؤ بالثغرات التي سيتم استخدامها في هجمات الفدية والاختراق. المقاولون الحكوميون الذين يتعاملون مع البيانات الاتحادية بموجب أطر FedRAMP أو DFARS أو CMMC غالبًا ما يكون لديهم التزامات تعاقدية تتطلب تصحيح الثغرات المستغلة بسرعة، مما يجعل إدراج CISA لـ KEV حافزًا للامتثال حتى بدون تفويض مباشر من BOD 22-01.

الإرشاد العملي: إذا كانت مؤسستك تستخدم Serv-U، فتعامل مع هذا الأمر على أنه عاجل بغض النظر عما إذا كنت وكالة اتحادية. نافذة التصحيح التي منحتها CISA للوكالات الاتحادية — أحد عشر يومًا — هي هدف داخلي معقول لأي بيئة إنتاج.

النمط: برامج نقل الملفات كهدف عالي القيمة

تواصل CVE-2026-28318 اتجاهًا تتبعه مجتمع الأمن منذ عام 2023. برامج نقل الملفات المُدارة تقع في موقع جذاب هيكليًا للمهاجمين: فهي تتعامل مع البيانات الحساسة، وغالبًا ما تكون مواجهة للإنترنت بطبيعتها، وتعمل بامتيازات حسابات خدمة يمكن استغلالها للحركة الجانبية، وتستخدمها منظمات في القطاعات ذاتها — الرعاية الصحية والمالية والحكومة — التي لديها بيانات عالية القيمة وعمليات تصحيح معقدة.

تم استغلال MOVEit Transfer (CVE-2023-34362) من قبل مجموعة الفدية Cl0p في مايو 2023، مما أدى إلى اختراق مئات المنظمات عالميًا وكشف بيانات تعود لعشرات الملايين من الأفراد. تم استغلال GoAnywhere MFT (CVE-2023-0669) من قبل المجموعة نفسها قبل أشهر في حملة استغلال جماعي مماثلة. كلاهما كانا ثغرات يوم صفر وقت الاستغلال. تتبع CVE-2026-28318 في Serv-U نفس نمط سطح الهجوم: مواجهة للإنترنت، حاسمة للمؤسسات، مسار هجوم غير موثق.

الفرق مع هذه الثغرة هو أن تصحيحًا موجود والهجوم حاليًا يسبب رفض الخدمة بدلاً من تسريب البيانات — مما يعني أن الضرر الفوري هو اضطراب تشغيلي وليس اختراقًا. هذا لا يعني أن مستوى المخاطرة منخفض؛ تعطل خادم نقل الملفات في بيئة منظمة يمكن أن يؤدي إلى حوادث امتثال، وتعطيل سير العمل الحساس للوقت، وخلق ظروف تستغلها نواقل هجوم أخرى. التصحيح متاح. النافذة قصيرة. لا يوجد سبب للانتظار.