CISA Sinaliza Vulnerabilidade DoS no SolarWinds Serv-U como Explorada Ativamente — Prazo Federal é 19 de Junho

A CISA adicionou CVE-2026-28318 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas em 5 de junho de 2026, confirmando que atacantes estão explorando ativamente uma falha de negação de serviço no software de servidor de arquivos multiprotocolo SolarWinds Serv-U. Agências federais do Poder Executivo Civil têm até 19 de junho para aplicar o patch. Organizações do setor privado que utilizam Serv-U devem tratar esse prazo como um forte sinal para corrigir imediatamente.

O que a Vulnerabilidade Faz

CVE-2026-28318 é uma falha de consumo descontrolado de recursos com pontuação CVSS 7,5 (alta gravidade). O ataque é direto: o envio de uma requisição POST especialmente criada com um cabeçalho Content-Encoding: deflate faz o serviço Serv-U travar sem exigir nenhuma autenticação. A travagem encerra o serviço de transferência de arquivos, cortando o acesso a transferências de arquivos gerenciadas, sessões SFTP e operações FTP até que o serviço seja reiniciado manualmente.

Esta é uma vulnerabilidade de negação de serviço, não de execução remota de código. Um atacante não pode usá-la para roubar arquivos ou se mover lateralmente em uma rede apenas com essa falha. Mas para organizações que dependem do Serv-U para transferências de arquivos em produção — especialmente em serviços financeiros, saúde e governo — a capacidade de derrubar o serviço repetidamente e sem autenticação é um risco operacional significativo.

A Correção e Mitigações Imediatas

A SolarWinds corrigiu a vulnerabilidade na versão Serv-U 15.5.4 HF1, lançada no início desta semana. Organizações que executam versões antigas devem atualizar imediatamente. Para ambientes onde um patch de emergência não é possível de imediato, a SolarWinds e a CISA recomendam duas mitigações provisórias: restringir o acesso ao serviço Serv-U apenas a endereços IP conhecidos, e bloquear qualquer requisição de entrada contendo um cabeçalho Content-Encoding, já que a funcionalidade vulnerável não exige isso.

Por que Vulnerabilidades da SolarWinds Recebem Atenção Reforçada

A SolarWinds tem um histórico de vulnerabilidades Serv-U exploradas que vai além do ataque à cadeia de suprimentos SUNBURST de 2020, que é o incidente mais comumente associado à empresa. Em 2021, a Microsoft revelou que um ator de ameaças ligado à China estava explorando CVE-2021-35211, uma falha de execução remota de código no Serv-U, para atingir contratantes de defesa e outras infraestruturas críticas. O grupo de ransomware Cl0p posteriormente explorou diferentes falhas do Serv-U para acesso inicial em 2022. O padrão significa que vulnerabilidades do Serv-U atraem atores sofisticados, não apenas operadores de malware comuns.

A CISA ainda não divulgou quem está por trás da exploração ativa de CVE-2026-28318, quantas instâncias do Serv-U expostas na internet foram alvo, nem como é a cadeia de ataque específica além da técnica inicial de travagem. A ausência desse detalhe não é tranquilizadora — em incidentes anteriores da SolarWinds, a extensão total da exploração só foi divulgada semanas após os avisos da CISA.

Avaliação de Exposição

Buscas no Shodan e Censys por instâncias do SolarWinds Serv-U expostas na internet mostram consistentemente dezenas de milhares de endpoints publicamente acessíveis. Muitas estão executando versões desatualizadas. A natureza não autenticada deste ataque — sem necessidade de credenciais, apenas uma requisição HTTP malformada — significa que a barreira para exploração é baixa, e a varredura automatizada de instâncias vulneráveis começará imediatamente, se já não começou. Organizações devem verificar sua versão do Serv-U, aplicar a 15.5.4 HF1 e revisar as configurações de controle de acesso, independentemente de acreditarem ter sido alvo.