CISA هشدار داد: آسیبپذیری DoS در SolarWinds Serv-U فعالانه مورد سوءاستفاده قرار گرفت — مهلت فدرال ۱۹ ژوئن
CISA در تاریخ ۵ ژوئن ۲۰۲۶، CVE-2026-28318 را به فهرست آسیبپذیریهای مورد سوءاستفاده شناختهشده خود افزود و تأیید کرد که مهاجمان بهطور فعالانه از یک نقص انکار سرویس (DoS) در نرمافزار سرور فایل چندپروتکلی SolarWinds Serv-U سوءاستفاده میکنند. سازمانهای شاخه اجرایی غیرنظامی فدرال تا ۱۹ ژوئن فرصت دارند تا وصله را اعمال کنند. سازمانهای بخش خصوصی که از Serv-U استفاده میکنند باید این مهلت را بهعنوان یک سیگنال قوی برای وصلهکردن فوری تلقی کنند.
مشخصات آسیبپذیری
CVE-2026-28318 یک نقص مصرف کنترلنشده منابع با امتیاز CVSS ۷.۵ (شدت بالا) است. حمله بسیار ساده است: ارسال یک درخواست POST مهندسیشده با هدر Content-Encoding: deflate باعث میشود سرویس Serv-U بدون نیاز به هیچگونه احراز هویت از کار بیفتد. این ازکارافتادگی سرویس انتقال فایل را متوقف میکند و دسترسی به انتقالهای مدیریتشده فایل، جلسات SFTP و عملیات FTP را تا زمان راهاندازی دستی سرویس قطع میکند.
این یک آسیبپذیری انکار سرویس است، نه اجرای کد از راه دور. مهاجم نمیتواند از طریق این نقص به تنهایی فایلها را بدزدد یا در شبکه جابهجا شود. اما برای سازمانهایی که برای انتقال فایلهای تولیدی به Serv-U متکی هستند — بهویژه در خدمات مالی، بهداشت و درمان و دولت — توانایی از کار انداختن مکرر سرویس بدون احراز هویت، یک ریسک عملیاتی قابل توجه محسوب میشود.
وصله و راههای کاهش موقت
SolarWinds این آسیبپذیری را در نسخه Serv-U 15.5.4 HF1 که اوایل این هفته منتشر شد، وصله کرد. سازمانهایی که از نسخههای قدیمیتر استفاده میکنند باید فوراً بهروزرسانی کنند. برای محیطهایی که اعمال وصله اضطراری بلافاصله امکانپذیر نیست، SolarWinds و CISA دو راه کاهش موقت را توصیه میکنند: دسترسی به سرویس Serv-U را فقط به آدرسهای IP شناختهشده محدود کنید و هرگونه درخواست ورودی که شامل هدر Content-Encoding است را مسدود کنید، زیرا قابلیت آسیبپذیر به آن نیازی ندارد.
چرا آسیبپذیریهای SolarWinds توجه بیشتری را به خود جلب میکنند
SolarWinds سابقهای از سوءاستفاده از آسیبپذیریهای Serv-U دارد که فراتر از حمله زنجیره تأمین SUNBURST در سال ۲۰۲۰ است — حادثهای که بیشتر با این شرکت مرتبط است. در سال ۲۰۲۱، مایکروسافت فاش کرد که یک تهدیدگر مرتبط با چین از CVE-2021-35211، یک نقص اجرای کد از راه دور در Serv-U، برای هدفقراردادن پیمانکاران دفاعی و سایر زیرساختهای حیاتی سوءاستفاده میکرد. گروه باجافزاری Cl0p بعداً در سال ۲۰۲۲ از نقصهای دیگر Serv-U برای دسترسی اولیه استفاده کرد. این الگو نشان میدهد که آسیبپذیریهای Serv-U تهدیدگران پیچیدهای را جذب میکنند، نه فقط اپراتورهای بدافزار معمولی.
CISA هنوز فاش نکرده است که چه کسی پشت سوءاستفاده فعال از CVE-2026-28318 است، چه تعداد از نمونههای Serv-U در معرض اینترنت هدف قرار گرفتهاند، یا زنجیره حمله خاص فراتر از تکنیک ازکارانداختن اولیه چگونه است. عدم وجود این جزئیات اطمینانبخش نیست — در حوادث قبلی SolarWinds، دامنه کامل سوءاستفاده تا هفتهها پس از اخطار CISA فاش نشد.
ارزیابی میزان در معرض قرارگیری
جستجوهای Shodan و Censys برای نمونههای SolarWinds Serv-U در معرض اینترنت، بهطور مداوم دهها هزار نقطه پایانی قابل دسترسی عمومی را نشان میدهد. بسیاری از آنها نسخههای قدیمی را اجرا میکنند. ماهیت بدون احراز هویت این حمله — بدون نیاز به اعتبارنامه، فقط یک درخواست HTTP مخرب — به این معنی است که مانع برای سوءاستفاده پایین است و اسکن خودکار برای نمونههای آسیبپذیر بلافاصله شروع خواهد شد، اگر قبلاً شروع نشده باشد. سازمانها باید نسخه Serv-U خود را بررسی کنند، وصله 15.5.4 HF1 را اعمال کنند و تنظیمات کنترل دسترسی را بدون توجه به اینکه آیا فکر میکنند هدف قرار گرفتهاند، بازبینی کنند.
Originally reported by The Hacker News. Read the original article for additional details.
View original source