CISA stuft SolarWinds Serv-U DoS-Schwachstelle als aktiv ausgenutzt ein — Bundesfrist endet am 19. Juni

CISA hat CVE-2026-28318 am 5. Juni 2026 in seinen Katalog bekannter ausgenutzter Schwachstellen aufgenommen und bestätigt, dass Angreifer aktiv eine Denial-of-Service-Schwachstelle in der Multiprotokoll-Dateiserver-Software SolarWinds Serv-U ausnutzen. Behörden der zivilen Exekutive des Bundes haben bis zum 19. Juni Zeit, den Patch anzuwenden. Organisationen des privaten Sektors, die Serv-U betreiben, sollten diese Frist als starkes Signal betrachten, sofort zu patchen.

Was die Schwachstelle bewirkt

CVE-2026-28318 ist ein Fehler des unkontrollierten Ressourcenverbrauchs mit einem CVSS-Score von 7,5 (hoher Schweregrad). Der Angriff ist unkompliziert: Das Senden einer speziell präparierten POST-Anfrage mit einem Content-Encoding: deflate-Header führt dazu, dass der Serv-U-Dienst ohne erforderliche Authentifizierung abstürzt. Der Absturz beendet den Dateitransferdienst und unterbricht den Zugriff auf verwaltete Dateiübertragungen, SFTP-Sitzungen und FTP-Operationen, bis der Dienst manuell neu gestartet wird.

Es handelt sich um eine Denial-of-Service-Schwachstelle, nicht um eine Remote-Codeausführung. Ein Angreifer kann sie nicht nutzen, um allein über diesen Fehler Dateien zu stehlen oder sich lateral durch ein Netzwerk zu bewegen. Aber für Organisationen, die für produktive Dateiübertragungen auf Serv-U angewiesen sind — insbesondere im Finanzdienstleistungs-, Gesundheits- und Regierungsbereich — stellt die Fähigkeit, den Dienst wiederholt und ohne Authentifizierung zum Absturz zu bringen, ein erhebliches operationelles Risiko dar.

Der Patch und sofortige Abhilfemaßnahmen

SolarWinds hat die Schwachstelle in der Version Serv-U 15.5.4 HF1, die Anfang dieser Woche veröffentlicht wurde, gepatcht. Organisationen, die ältere Versionen betreiben, sollten sofort aktualisieren. Für Umgebungen, in denen ein Notfall-Patch nicht sofort möglich ist, empfehlen SolarWinds und CISA zwei vorläufige Abhilfemaßnahmen: Beschränken Sie den Zugriff auf den Serv-U-Dienst nur auf bekannte IP-Adressen, und blockieren Sie alle eingehenden Anfragen, die einen Content-Encoding-Header enthalten, da die anfällige Funktionalität diesen nicht benötigt.

Warum SolarWinds-Schwachstellen erhöhte Aufmerksamkeit erhalten

SolarWinds hat eine Geschichte ausgenutzter Serv-U-Schwachstellen, die über den Supply-Chain-Angriff SUNBURST von 2020 hinausgeht, der der am häufigsten mit dem Unternehmen in Verbindung gebrachte Vorfall ist. Im Jahr 2021 enthüllte Microsoft, dass ein mit China verbundener Bedrohungsakteur CVE-2021-35211, einen Remote-Codeausführungsfehler in Serv-U, ausnutzte, um Verteidigungsauftragnehmer und andere kritische Infrastrukturen anzugreifen. Die Cl0p-Ransomware-Gruppe nutzte später im Jahr 2022 verschiedene Serv-U-Fehler für den Erstzugriff aus. Das Muster bedeutet, dass Serv-U-Schwachstellen hochentwickelte Akteure anziehen, nicht nur gewöhnliche Malware-Operatoren.

CISA hat noch nicht offengelegt, wer hinter der aktiven Ausnutzung von CVE-2026-28318 steckt, wie viele internet-exponierte Serv-U-Instanzen angegriffen wurden oder wie die spezifische Angriffskette über die anfängliche Absturztechnik hinaus aussieht. Das Fehlen dieser Details ist nicht beruhigend – in früheren SolarWinds-Vorfällen wurde das volle Ausmaß der Ausnutzung erst Wochen nach den CISA-Hinweisen bekannt gegeben.

Expositionsbewertung

Shodan- und Censys-Suchen nach internet-exponierten SolarWinds Serv-U-Instanzen zeigen konsequent Zehntausende öffentlich erreichbarer Endpunkte. Viele laufen mit veralteten Versionen. Die nicht authentifizierte Natur dieses Angriffs – keine Anmeldeinformationen erforderlich, nur eine manipulierte HTTP-Anfrage – bedeutet, dass die Hürde für die Ausnutzung niedrig ist und die automatisierte Suche nach anfälligen Instanzen sofort beginnen wird, falls nicht bereits geschehen. Organisationen sollten ihre Serv-U-Version überprüfen, 15.5.4 HF1 anwenden und die Zugriffskontrollkonfigurationen überprüfen, unabhängig davon, ob sie glauben, angegriffen worden zu sein.