CISA bestätigt aktiven Angriff auf SolarWinds Serv-U — Bundesbehörden müssen bis zum 19. Juni patchen

CISA hat CVE-2026-28318 am 8. Juni 2026 in seinen Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und bestätigt, dass Angreifer aktiv einen Denial-of-Service-Fehler in SolarWinds Serv-U ausnutzen. Gemäß der verbindlichen Betriebsanweisung 22-01 (BOD 22-01) müssen alle Behörden der zivilen Bundesexekutive (FCEB) den Fix bis zum 19. Juni 2026 anwenden – ein elftägiges Fenster, das zeigt, wie ernst CISA dies nimmt.

SolarWinds hat einen Patch veröffentlicht: Serv-U 15.5.4 Hotfix 1. Organisationen, die nicht sofort patchen können, haben spezifische vorübergehende Abhilfemaßnahmen zur Verfügung. Es gibt keine Unklarheit über den Schweregrad – die Ausnutzung ist bestätigt und der Angriff erfolgt ohne Authentifizierung, ohne dass Anmeldedaten oder vorheriger Zugriff erforderlich sind.

Was Serv-U ist und wer es betreibt

SolarWinds Serv-U ist ein unternehmensweiter Multi-Protokoll-Dateiübertragungsserver, der FTP, SFTP, FTPS, HTTP und HTTPS unterstützt. Es wird häufig in Regierungsbehörden, Finanzinstituten, Gesundheitsorganisationen und großen Unternehmen eingesetzt, die eine verwaltete, prüfbare Dateiübertragungsinfrastruktur benötigen – genau die Umgebungen mit strengen Compliance-Anforderungen an die Datenbewegung. Serv-U konkurriert im selben Bereich wie MOVEit Transfer und GoAnywhere MFT, zwei Produkte, die in den vergangenen Jahren in großem Umfang ausgenutzt wurden.

Die installierte Basis ist beträchtlich. Tausende Organisationen weltweit verwenden Serv-U, viele davon als kritische Datenpipeline – eingehende Zahlungsdateien, Übermittlungen von Krankenakten, regulatorische Einreichungen. Eine ausgefallene Serv-U-Instanz ist keine geringfügige Unannehmlichkeit; sie unterbricht Arbeitsabläufe, von denen andere Systeme abhängen.

Die Schwachstelle: wie der Angriff funktioniert

CVE-2026-28318 wird als CWE-400: Unkontrollierter Ressourcenverbrauch eingestuft. Der Fehler liegt darin, wie Serv-U HTTP-POST-Anfragen mit einem Content-Encoding: deflate-Header verarbeitet.

Der Content-Encoding: deflate-Header teilt dem Webserver mit, dass der Anfragetext mit dem Deflate-Algorithmus komprimiert wurde und der Server ihn vor der Verarbeitung dekomprimieren soll. Ein legitimer Client nutzt dies, um die Bandbreite beim Senden großer Nutzlasten zu reduzieren. Im Fall von Serv-U führt ein Fehler in der Dekomprimierungsverarbeitung dazu, dass eine manipulierte Anfrage – bei der die komprimierte Eingabe so ausgelegt ist, dass sie bei der Dekomprimierung auf eine unverhältnismäßig große Größe expandiert – den Serv-U-Dienst dazu bringt, den gesamten verfügbaren Speicher oder die CPU zu verbrauchen, bis er abstürzt. Diese Art von Angriff wird manchmal als "Zip-Bombe" oder Dekomprimierungsbombe bezeichnet, angepasst an HTTP.

Das entscheidende Detail ist, dass keine Authentifizierung erforderlich ist. Ein Angreifer im öffentlichen Internet kann eine einzige fehlerhafte POST-Anfrage an eine Serv-U-Instanz senden und den Dienst zum Absturz bringen. Es ist kein gültiges Konto erforderlich, keine Notwendigkeit, Anmeldedaten zu erraten oder zuerst eine zweite Schwachstelle auszunutzen. Die Angriffsfläche ist jede im Netzwerk erreichbare Serv-U-Instanz.

Was jetzt zu tun ist

Patchen Sie sofort. Aktualisieren Sie auf Serv-U 15.5.4 Hotfix 1. SolarWinds hat das Update über den standardmäßigen Software-Update-Kanal veröffentlicht. Dies ist die einzige vollständige Behebung.

Wenn das Patchen aufgrund von Änderungsmanagementfenstern oder betrieblichen Einschränkungen nicht sofort möglich ist, wenden Sie beide folgenden vorübergehenden Abhilfemaßnahmen parallel an:

• IP-Whitelisting: Beschränken Sie den Zugriff auf die Serv-U-HTTP/HTTPS-Schnittstelle auf bekannte, vertrauenswürdige IP-Adressen oder IP-Bereiche. Dies behebt die Schwachstelle nicht, entfernt jedoch die nicht authentifizierte Remote-Angriffsfläche für Adressen außerhalb der Whitelist.
• Blockieren Sie POST-Anfragen mit dem content-encoding-Header: Wenn sich ein Reverse-Proxy, eine Web Application Firewall oder ein Netzwerkgerät vor Serv-U befindet, konfigurieren Sie eine Regel, um HTTP-POST-Anfragen mit einem Content-Encoding-Header zu verwerfen oder abzulehnen, bevor sie den Serv-U-Dienst erreichen. Die meisten Unternehmens-WAF-Plattformen unterstützen dies als einfache Header-Match-Regel.

Beide Abhilfemaßnahmen sind Workarounds, keine Fixes. Sie reduzieren die Ausnutzbarkeit, während der Patch getestet und bereitgestellt wird, beseitigen jedoch nicht die zugrunde liegende Schwachstelle. Behandeln Sie sie als vorübergehende Maßnahmen für Stunden bis Tage, nicht als wochenlange Lösungen.

BOD 22-01: was es jenseits von Bundesbehörden bedeutet

Die verbindliche Betriebsanweisung 22-01, herausgegeben von CISA im November 2021, verlangt von allen FCEB-Behörden, die im KEV-Katalog aufgeführten Schwachstellen innerhalb festgelegter Zeiträume zu beheben – in der Regel 14 Tage für aktiv ausgenutzte Fehler, wobei CISA für kritische Fälle kürzere Fristen setzen kann. Die Anweisung hat keine rechtliche Autorität über Organisationen des privaten Sektors.

In der Praxis ist BOD 22-01 zu einem De-facto-Patching-Maßstab für Unternehmen und Regierungsauftragnehmer geworden. Viele Organisationen, die keine FCEB-Behörden sind, haben die KEV-Behebungszeitpläne als ihren internen Standard übernommen – teils, weil es eine klar definierte, vertretbare Richtlinie ist, und teils, weil CISAs KEV-Auswahlen eine starke Erfolgsbilanz bei der Vorhersage haben, welche Schwachstellen in Ransomware- und Eindringkampagnen verwendet werden. Regierungsauftragnehmer, die Bundesdaten unter FedRAMP-, DFARS- oder CMMC-Rahmenwerken verarbeiten, haben oft vertragliche Verpflichtungen, die ein schnelles Patchen ausgenutzter Schwachstellen erfordern, wodurch die KEV-Auflistung von CISA selbst ohne direktes BOD-22-01-Mandat zu einem Compliance-Trigger wird.

Die praktische Anleitung: Wenn Ihre Organisation Serv-U betreibt, behandeln Sie dies als dringend, unabhängig davon, ob Sie eine Bundesbehörde sind. Das Patch-Fenster, das CISA den Bundesbehörden gegeben hat – elf Tage – ist ein vernünftiges internes Ziel für jede Produktionsumgebung.

Das Muster: Dateiübertragungssoftware als hochwertiges Ziel

CVE-2026-28318 setzt einen Trend fort, den die Sicherheitsgemeinschaft seit 2023 verfolgt. Verwaltete Dateiübertragungssoftware befindet sich für Angreifer strukturell in einer attraktiven Position: Sie verarbeitet sensible Daten, ist oft von Natur aus internetgerichtet, läuft mit Dienstkontoberechtigungen, die für laterale Bewegung genutzt werden können, und wird von Organisationen in genau den Sektoren – Gesundheitswesen, Finanzen, Regierung – verwendet, die sowohl hochwertige Daten als auch komplexe Patching-Prozesse haben.

MOVEit Transfer (CVE-2023-34362) wurde im Mai 2023 von der Cl0p-Ransomware-Gruppe ausgenutzt, wodurch Hunderte von Organisationen weltweit kompromittiert und Daten von zig Millionen Menschen offengelegt wurden. GoAnywhere MFT (CVE-2023-0669) wurde Monate zuvor von derselben Gruppe in einer ähnlichen Massenausnutzungskampagne ausgenutzt. Beide waren zum Zeitpunkt der Ausnutzung Zero-Day-Schwachstellen. CVE-2026-28318 in Serv-U folgt demselben Angriffsflächenmuster: internetgerichtet, unternehmenskritisch, nicht authentifizierter Angriffspfad.

Der Unterschied bei dieser Schwachstelle ist, dass ein Patch existiert und der Angriff derzeit Denial-of-Service verursacht, anstatt Datenexfiltration – das bedeutet, der unmittelbare Schaden ist eine betriebliche Störung und kein Sicherheitsverstoß. Das bedeutet nicht, dass das Risikoprofil niedrig ist; ein ausgefallener Dateiübertragungsserver in einer regulierten Umgebung kann Compliance-Vorfälle auslösen, zeitkritische Arbeitsabläufe unterbrechen und Bedingungen schaffen, die andere Angriffsvektoren ausnutzen. Der Patch ist verfügbar. Das Fenster ist kurz. Es gibt keinen Grund zu warten.