IRCNF
Security

CISA تأیید کرد: SolarWinds Serv-U تحت حمله فعال قرار دارد - آژانس‌های فدرال تا ۱۹ ژوئن فرصت وصله‌گذاری دارند

BleepingComputer
اشتراک‌گذاری:
CISA تأیید کرد: SolarWinds Serv-U تحت حمله فعال قرار دارد - آژانس‌های فدرال تا ۱۹ ژوئن فرصت وصله‌گذاری دارند

CISA در ۸ ژوئن ۲۰۲۶ آسیب‌پذیری CVE-2026-28318 را به فهرست آسیب‌پذیری‌های شناخته‌شده و تحت بهره‌برداری (KEV) خود افزود و تأیید کرد که مهاجمان به طور فعال از یک نقص محروم‌سازی از سرویس در SolarWinds Serv-U بهره‌برداری می‌کنند. طبق دستورالعمل عملیاتی الزام‌آور ۲۲-۰۱ (BOD 22-01)، تمامی آژانس‌های قوه مجریه فدرال غیرنظامی (FCEB) موظف هستند که وصله را تا ۱۹ ژوئن ۲۰۲۶ اعمال کنند - بازه‌ای یازده‌روزه که نشان می‌دهد CISA این موضوع را چقدر جدی تلقی می‌کند.

SolarWinds یک وصله منتشر کرده است: Serv-U 15.5.4 Hotfix 1. سازمان‌هایی که نمی‌توانند فوراً وصله را اعمال کنند، اقدامات کاهشی موقت مشخصی در اختیار دارند. هیچ ابهامی در مورد شدت وجود ندارد - بهره‌برداری تأیید شده و حمله بدون احراز هویت است و به هیچ مدرک یا دسترسی قبلی نیاز ندارد.

Serv-U چیست و چه کسانی آن را اجرا می‌کنند

SolarWinds Serv-U یک سرور انتقال فایل چندپروتکلی سازمانی است که از FTP، SFTP و FTPS و HTTP و HTTPS پشتیبانی می‌کند. این سرویس به طور گسترده در آژانس‌های دولتی، مؤسسات مالی، سازمان‌های بهداشتی و شرکت‌های بزرگی که نیاز به زیرساخت انتقال فایل مدیریت‌شده و قابل ممیزی دارند - دقیقاً محیط‌هایی با الزامات انطباق سختگیرانه در مورد جابجایی داده - مستقر شده است. Serv-U در فضای مشابه MOVEit Transfer و GoAnywhere MFT رقابت می‌کند؛ دو محصولی که در سال‌های گذشته در مقیاس وسیع مورد بهره‌برداری قرار گرفته‌اند.

پایگاه نصب‌شده قابل توجه است. Serv-U توسط هزاران سازمان در سراسر جهان استفاده می‌شود که بسیاری از آنها آن را به عنوان یک خط لوله داده بحرانی اجرا می‌کنند - فایل‌های پرداخت ورودی، انتقال سوابق پزشکی، ارسال‌های نظارتی. از کار افتادن یک نمونه Serv-U یک ناراحتی جزئی نیست؛ بلکه جریان‌های کاری که سایر سیستم‌ها به آنها وابسته هستند را مختل می‌کند.

آسیب‌پذیری: نحوه عملکرد حمله

CVE-2026-28318 به عنوان CWE-400: مصرف کنترل‌نشده منابع طبقه‌بندی می‌شود. نقص در نحوه مدیریت درخواست‌های HTTP POST که شامل هدر Content-Encoding: deflate هستند، وجود دارد.

هدر Content-Encoding: deflate به سرور وب می‌گوید که بدنه درخواست با الگوریتم deflate فشرده شده است و سرور باید قبل از پردازش آن را از حالت فشرده خارج کند. یک کلاینت مشروع از این برای کاهش پهنای باند هنگام ارسال بارهای حجیم استفاده می‌کند. در مورد Serv-U، یک نقص در مدیریت استخراج از حالت فشرده باعث می‌شود که یک درخواست ساخته‌شده - که در آن ورودی فشرده به‌گونه‌ای طراحی شده که پس از استخراج به اندازه‌ای نامتناسب بزرگ شود - باعث مصرف تمام حافظه یا CPU موجود توسط سرویس Serv-U تا زمان از کار افتادن آن شود. این نوع حمله گاهی "بمب زیپ" یا بمب استخراج نامیده می‌شود که برای HTTP تطبیق داده شده است.

جزئیات حیاتی این است که هیچ احراز هویتی لازم نیست. یک مهاجم در اینترنت عمومی می‌تواند یک درخواست POST بدساختار به یک نمونه Serv-U ارسال کرده و آن را از کار بیندازد. نیازی به داشتن حساب معتبر، حدس زدن اعتبارنامه یا بهره‌برداری از یک آسیب‌پذیری دوم نیست. سطح حمله هر نمونه Serv-U است که در شبکه قابل دسترسی باشد.

اقدامات فعلی

فوراً وصله کنید. به Serv-U 15.5.4 Hotfix 1 ارتقا دهید. SolarWinds به‌روزرسانی را از طریق کانال استاندارد به‌روزرسانی نرم‌افزار خود منتشر کرده است. این تنها راه‌حل کامل است.

اگر به دلیل پنجره‌های مدیریت تغییر یا محدودیت‌های عملیاتی نمی‌توان بلافاصله وصله کرد، هر دو اقدام کاهشی موقت زیر را به صورت همزمان اعمال کنید:

  • فهرست سفید IP: دسترسی به رابط HTTP/HTTPS Serv-U را به آدرس‌ها یا محدوده‌های IP شناخته‌شده و مورد اعتماد محدود کنید. این کار آسیب‌پذیری را برطرف نمی‌کند اما سطح حمله از راه دور بدون احراز هویت را برای آدرس‌های خارج از فهرست سفید حذف می‌کند.
  • مسدود کردن درخواست‌های POST حاوی هدر content-encoding: اگر یک پروکسی معکوس، فایروال برنامه وب یا دستگاه شبکه در مقابل Serv-U قرار دارد، یک قانون برای رد یا رها کردن درخواست‌های HTTP POST که شامل هدر Content-Encoding هستند قبل از رسیدن به سرویس Serv-U پیکربندی کنید. بیشتر پلتفرم‌های WAF سازمانی این قابلیت را به عنوان یک قانون ساده تطبیق هدر پشتیبانی می‌کنند.

هر دو اقدام کاهشی موقت هستند، نه راه‌حل. آنها در حالی که وصله در حال تست و استقرار است، قابلیت بهره‌برداری را کاهش می‌دهند اما آسیب‌پذیری زیربنایی را از بین نمی‌برند. آنها را به عنوان اقدامات موقتی چندساعته تا چندروزه در نظر بگیرید، نه راه‌حل‌های هفته‌ها.

BOD 22-01: معنای آن فراتر از آژانس‌های فدرال

دستورالعمل عملیاتی الزام‌آور ۲۲-۰۱ که توسط CISA در نوامبر ۲۰۲۱ صادر شد، تمام آژانس‌های FCEB را ملزم می‌کند که آسیب‌پذیری‌های فهرست‌شده در کاتالوگ KEV را در چارچوب‌های زمانی مشخصی برطرف کنند - معمولاً ۱۴ روز برای نقص‌های تحت بهره‌برداری فعال، اگرچه CISA می‌تواند برای موارد بحرانی پنجره‌های کوتاه‌تری تعیین کند. این دستورالعمل بر سازمان‌های بخش خصوصی قدرت قانونی ندارد.

در عمل، BOD 22-01 به یک معیار de facto برای وصله‌گذاری برای شرکت‌ها و پیمانکاران دولتی تبدیل شده است. بسیاری از سازمان‌هایی که آژانس FCEB نیستند، جدول زمانی رفع KEV را به عنوان استاندارد داخلی خود پذیرفته‌اند - تا حدی به این دلیل که یک سیاست مشخص و قابل دفاع است و تا حدی به این دلیل که انتخاب‌های KEV توسط CISA سابقه قوی در پیش‌بینی آسیب‌پذیری‌هایی که در کمپین‌های باج‌افزاری و نفوذ استفاده می‌شوند، دارند. پیمانکاران دولتی که داده‌های فدرال را تحت چارچوب‌های FedRAMP، DFARS یا CMMC مدیریت می‌کنند، اغلب تعهدات قراردادی دارند که نیاز به وصله‌گذاری سریع آسیب‌پذیری‌های تحت بهره‌برداری دارد و فهرست‌بندی KEV توسط CISA را حتی بدون الزام مستقیم BOD 22-01 به یک محرک انطباق تبدیل می‌کند.

راهنمای عملی: اگر سازمان شما از Serv-U استفاده می‌کند، صرف نظر از اینکه آژانس فدرال هستید یا نه، این موضوع را فوری تلقی کنید. پنجره وصله‌ای که CISA برای آژانس‌های فدرال تعیین کرد - یازده روز - یک هدف داخلی معقول برای هر محیط تولیدی است.

الگو: نرم‌افزار انتقال فایل به عنوان هدف با ارزش بالا

CVE-2026-28318 روندی را ادامه می‌دهد که جامعه امنیتی از سال ۲۰۲۳ آن را دنبال می‌کند. نرم‌افزار انتقال فایل مدیریت‌شده در موقعیتی ساختاری جذاب برای مهاجمان قرار دارد: داده‌های حساس را مدیریت می‌کند، اغلب به‌صورت طراحی‌شده در معرض اینترنت است، با امتیازات حساب سرویسی اجرا می‌شود که می‌تواند برای حرکت جانبی مورد استفاده قرار گیرد و توسط سازمان‌هایی در بخش‌هایی - بهداشت، امور مالی، دولت - استفاده می‌شود که هم داده‌های با ارزش بالا و هم فرآیندهای وصله‌گذاری پیچیده دارند.

MOVEit Transfer (CVE-2023-34362) توسط گروه باج‌افزاری Cl0p در می ۲۰۲۳ مورد بهره‌برداری قرار گرفت و صدها سازمان در سراسر جهان را به خطر انداخت و داده‌های متعلق به ده‌ها میلیون نفر را افشا کرد. GoAnywhere MFT (CVE-2023-0669) ماه‌ها قبل در یک کمپین بهره‌برداری گسترده مشابه توسط همان گروه مورد بهره‌برداری قرار گرفت. هر دو در زمان بهره‌برداری آسیب‌پذیری روز-صفر بودند. CVE-2026-28318 در Serv-U از همان الگوی سطح حمله پیروی می‌کند: در معرض اینترنت، بحرانی برای سازمان، مسیر حمله بدون احراز هویت.

تفاوت این آسیب‌پذیری این است که یک وصله وجود دارد و حمله در حال حاضر باعث محروم‌سازی از سرویس می‌شود نه استخراج داده - به این معنی که آسیب فوری اختلال عملیاتی است نه نقض. این به معنی پایین بودن ریسک نیست؛ از کار افتادن یک سرور انتقال فایل در یک محیط تنظیم‌شده می‌تواند حوادث انطباق را ایجاد کند، جریان‌های کاری حساس به زمان را مختل کند و شرایطی ایجاد کند که بردارهای حمله دیگر از آن بهره‌برداری کنند. وصله در دسترس است. پنجره کوتاه است. هیچ دلیلی برای تعلل وجود ندارد.

cisavulnerabilityCVEsolarwindsdenial-of-servicepatch

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
اشتراک‌گذاری: