CISA confirma que SolarWinds Serv-U está bajo ataque activo: las agencias federales tienen hasta el 19 de junio para aplicar el parche
CISA añadió CVE-2026-28318 a su catálogo de vulnerabilidades conocidas explotadas (KEV) el 8 de junio de 2026, confirmando que los atacantes están explotando activamente un fallo de denegación de servicio en SolarWinds Serv-U. Bajo la Directiva Operativa Vinculante 22-01 (BOD 22-01), todas las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar el parche antes del 19 de junio de 2026, un plazo de once días que indica la seriedad con que CISA trata esto.
SolarWinds ha publicado un parche: Serv-U 15.5.4 Hotfix 1. Las organizaciones que no puedan parchear de inmediato tienen mitigaciones provisionales específicas disponibles. No hay ambigüedad sobre la gravedad: la explotación está confirmada y el ataque no requiere autenticación, sin necesidad de credenciales ni acceso previo.
Qué es Serv-U y quién lo usa
SolarWinds Serv-U es un servidor de transferencia de archivos multiprotocolo empresarial que admite FTP, SFTP, FTPS, HTTP y HTTPS. Está ampliamente desplegado en agencias gubernamentales, instituciones financieras, organizaciones de salud y grandes empresas que necesitan una infraestructura de transferencia de archivos gestionada y auditable; exactamente los entornos con estrictos requisitos de cumplimiento en torno al movimiento de datos. Serv-U compite en el mismo espacio que MOVEit Transfer y GoAnywhere MFT, dos productos que han sido explotados a gran escala en años anteriores.
La base instalada es sustancial. Miles de organizaciones en todo el mundo usan Serv-U, muchas como un conducto de datos crítico: archivos de pago entrantes, transferencias de registros médicos, envíos regulatorios. Una instancia de Serv-U caída no es una molestia menor; rompe flujos de trabajo de los que dependen otros sistemas.
La vulnerabilidad: cómo funciona el ataque
CVE-2026-28318 está clasificada como CWE-400: Consumo descontrolado de recursos. El fallo reside en cómo Serv-U maneja las solicitudes HTTP POST que incluyen un encabezado Content-Encoding: deflate.
El encabezado Content-Encoding: deflate le indica al servidor web que el cuerpo de la solicitud ha sido comprimido con el algoritmo deflate y que el servidor debe descomprimirlo antes de procesarlo. Un cliente legítimo lo usa para reducir el ancho de banda al enviar cargas útiles grandes. En el caso de Serv-U, un fallo en el manejo de la descompresión significa que una solicitud manipulada — donde la entrada comprimida está diseñada para expandirse a un tamaño desproporcionadamente grande al descomprimirse — hace que el servicio de Serv-U consuma toda la memoria o CPU disponible hasta que se bloquea. Este tipo de ataque a veces se llama "bomba zip" o bomba de descompresión, adaptada a HTTP.
El detalle crítico es que no se requiere autenticación. Un atacante en Internet público puede enviar una sola solicitud POST malformada a una instancia de Serv-U y derribar el servicio. No es necesario tener una cuenta válida, adivinar credenciales ni explotar primero una segunda vulnerabilidad. La superficie de ataque es cada instancia de Serv-U accesible en la red.
Qué hacer ahora
Parchee de inmediato. Actualice a Serv-U 15.5.4 Hotfix 1. SolarWinds ha publicado la actualización a través de su canal estándar de actualización de software. Esta es la única solución completa.
Si no se puede parchear de inmediato debido a ventanas de gestión de cambios o limitaciones operativas, aplique ambas mitigaciones provisionales en paralelo:
- Lista blanca de IP: Restrinja el acceso a la interfaz HTTP/HTTPS de Serv-U a direcciones o rangos IP conocidos y de confianza. Esto no corrige la vulnerabilidad, pero elimina la superficie de ataque remoto no autenticado para las direcciones fuera de la lista blanca.
- Bloquear solicitudes POST que contengan el encabezado
content-encoding: Si hay un proxy inverso, cortafuegos de aplicaciones web o dispositivo de red frente a Serv-U, configure una regla para descartar o rechazar las solicitudes HTTP POST que incluyan un encabezadoContent-Encodingantes de que lleguen al servicio Serv-U. La mayoría de las plataformas WAF empresariales admiten esto como una regla simple de coincidencia de encabezados.
Ambas mitigaciones son soluciones alternativas, no correcciones. Reducen la explotabilidad mientras se prueba e implementa el parche, pero no eliminan la vulnerabilidad subyacente. Trátelas como medidas provisionales de horas a días, no como soluciones de semanas.
BOD 22-01: qué significa más allá de las agencias federales
La Directiva Operativa Vinculante 22-01, emitida por CISA en noviembre de 2021, exige que todas las agencias FCEB corrijan las vulnerabilidades listadas en el catálogo KEV dentro de plazos definidos, típicamente 14 días para fallos explotados activamente, aunque CISA puede establecer plazos más cortos para casos críticos. La directiva no tiene autoridad legal sobre las organizaciones del sector privado.
En la práctica, BOD 22-01 se ha convertido en un punto de referencia de facto para la aplicación de parches en empresas y contratistas gubernamentales. Muchas organizaciones que no son agencias FCEB han adoptado los plazos de corrección de KEV como su estándar interno, en parte porque es una política claramente definida y defendible, y en parte porque las selecciones de KEV de CISA tienen un sólido historial de predecir qué vulnerabilidades se utilizarán en campañas de ransomware e intrusiones. Los contratistas gubernamentales que manejan datos federales bajo los marcos FedRAMP, DFARS o CMMC a menudo tienen obligaciones contractuales que requieren parchar rápidamente las vulnerabilidades explotadas, lo que convierte la inclusión de CISA en el KEV en un desencadenante de cumplimiento incluso sin un mandato directo de BOD 22-01.
El consejo práctico: si su organización ejecuta Serv-U, trátelo como urgente independientemente de si es una agencia federal. El plazo de parche que CISA dio a las agencias federales — once días — es un objetivo interno razonable para cualquier entorno de producción.
El patrón: el software de transferencia de archivos como objetivo de alto valor
CVE-2026-28318 continúa una tendencia que la comunidad de seguridad ha estado siguiendo desde 2023. El software de transferencia de archivos gestionado se encuentra en una posición estructuralmente atractiva para los atacantes: maneja datos sensibles, a menudo está orientado a Internet por diseño, se ejecuta con privilegios de cuenta de servicio que pueden aprovecharse para movimiento lateral, y es utilizado por organizaciones precisamente en los sectores — salud, finanzas, gobierno — que tienen tanto datos de alto valor como procesos de parcheo complejos.
MOVEit Transfer (CVE-2023-34362) fue explotado por el grupo de ransomware Cl0p en mayo de 2023, comprometiendo a cientos de organizaciones a nivel mundial y exponiendo datos de decenas de millones de personas. GoAnywhere MFT (CVE-2023-0669) fue explotado por el mismo grupo meses antes en una campaña de explotación masiva similar. Ambos eran vulnerabilidades de día cero en el momento de la explotación. CVE-2026-28318 en Serv-U sigue el mismo patrón de superficie de ataque: orientado a Internet, crítico para la empresa, ruta de ataque no autenticada.
La diferencia con esta vulnerabilidad es que existe un parche y el ataque actualmente causa denegación de servicio en lugar de exfiltración de datos, lo que significa que el daño inmediato es una interrupción operativa, no una filtración. Eso no significa que el perfil de riesgo sea bajo; un servidor de transferencia de archivos caído en un entorno regulado puede desencadenar incidentes de cumplimiento, interrumpir flujos de trabajo sensibles al tiempo y crear condiciones que otros vectores de ataque exploten. El parche está disponible. El plazo es corto. No hay razón para esperar.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source