CISA Señala Vulnerabilidad DoS en SolarWinds Serv-U como Explotada Activamente — Fecha Límite Federal 19 de Junio

CISA agregó CVE-2026-28318 a su catálogo de Vulnerabilidades Explotadas Conocidas el 5 de junio de 2026, confirmando que los atacantes están explotando activamente una falla de denegación de servicio en el software de servidor de archivos multiprotocolo SolarWinds Serv-U. Las agencias federales de la Rama Ejecutiva Civil tienen hasta el 19 de junio para aplicar el parche. Las organizaciones del sector privado que ejecutan Serv-U deben considerar esa fecha límite como una señal contundente para parchear de inmediato.

Qué Hace la Vulnerabilidad

CVE-2026-28318 es una falla de consumo descontrolado de recursos con una puntuación CVSS de 7.5 (alta gravedad). El ataque es directo: enviar una solicitud POST especialmente diseñada con un encabezado Content-Encoding: deflate provoca que el servicio Serv-U se bloquee sin requerir autenticación alguna. El bloqueo termina el servicio de transferencia de archivos, cortando el acceso a transferencias de archivos administradas, sesiones SFTP y operaciones FTP hasta que el servicio se reinicie manualmente.

Esta es una vulnerabilidad de denegación de servicio, no de ejecución remota de código. Un atacante no puede usarla para robar archivos ni moverse lateralmente por una red solo con esta falla. Pero para las organizaciones que dependen de Serv-U para transferencias de archivos en producción —particularmente en servicios financieros, salud y gobierno— la capacidad de bloquear el servicio repetidamente y sin autenticación representa un riesgo operativo significativo.

La Corrección y Mitigaciones Inmediatas

SolarWinds parcheó la vulnerabilidad en la versión Serv-U 15.5.4 HF1, lanzada a principios de esta semana. Las organizaciones que ejecutan versiones anteriores deben actualizar de inmediato. Para entornos donde no sea posible un parche de emergencia de inmediato, SolarWinds y CISA recomiendan dos mitigaciones provisionales: restringir el acceso al servicio Serv-U solo a direcciones IP conocidas, y bloquear cualquier solicitud entrante que contenga un encabezado Content-Encoding, ya que la funcionalidad vulnerable no lo requiere.

Por Qué las Vulnerabilidades de SolarWinds Reciben Atención Reforzada

SolarWinds tiene un historial de vulnerabilidades explotadas en Serv-U que va más allá del ataque a la cadena de suministro SUNBURST de 2020, que es el incidente más comúnmente asociado con la empresa. En 2021, Microsoft reveló que un actor de amenazas vinculado a China estaba explotando CVE-2021-35211, una falla de ejecución remota de código en Serv-U, para atacar a contratistas de defensa y otras infraestructuras críticas. El grupo de ransomware Cl0p posteriormente explotó diferentes fallas de Serv-U para acceso inicial en 2022. El patrón significa que las vulnerabilidades de Serv-U atraen a actores sofisticados, no solo a operadores de malware comunes.

CISA aún no ha revelado quién está detrás de la explotación activa de CVE-2026-28318, cuántas instancias de Serv-U expuestas a Internet han sido objetivo, ni cómo es la cadena de ataque específica más allá de la técnica de bloqueo inicial. La ausencia de ese detalle no es tranquilizadora: en incidentes anteriores de SolarWinds, el alcance total de la explotación no se reveló hasta semanas después de los avisos de CISA.

Evaluación de Exposición

Las búsquedas en Shodan y Censys de instancias de SolarWinds Serv-U expuestas a Internet muestran constantemente decenas de miles de endpoints accesibles públicamente. Muchas ejecutan versiones desactualizadas. La naturaleza no autenticada de este ataque —sin credenciales necesarias, solo una solicitud HTTP malformada— significa que la barrera para la explotación es baja, y el escaneo automatizado de instancias vulnerables comenzará de inmediato si no lo ha hecho ya. Las organizaciones deben verificar su versión de Serv-U, aplicar 15.5.4 HF1 y revisar las configuraciones de control de acceso independientemente de si creen haber sido atacadas.