CISA confirma que SolarWinds Serv-U está sob ataque ativo — agências federais têm até 19 de junho para aplicar patch

A CISA adicionou CVE-2026-28318 ao seu catálogo de vulnerabilidades conhecidas exploradas (KEV) em 8 de junho de 2026, confirmando que atacantes estão explorando ativamente uma falha de negação de serviço no SolarWinds Serv-U. Sob a Diretiva Operacional Vinculante 22-01 (BOD 22-01), todas as agências do Poder Executivo Civil Federal (FCEB) devem aplicar a correção até 19 de junho de 2026 — uma janela de onze dias que sinaliza o quão seriamente a CISA está tratando isso.

A SolarWinds lançou um patch: Serv-U 15.5.4 Hotfix 1. Organizações que não podem aplicar o patch imediatamente têm mitigações provisórias específicas disponíveis. Não há ambiguidade sobre a gravidade — a exploração é confirmada e o ataque não requer autenticação, sem necessidade de credenciais ou acesso prévio.

O que é o Serv-U e quem o utiliza

O SolarWinds Serv-U é um servidor de transferência de arquivos multiprotocolo empresarial que suporta FTP, SFTP, FTPS, HTTP e HTTPS. Ele é amplamente implantado em agências governamentais, instituições financeiras, organizações de saúde e grandes empresas que precisam de infraestrutura gerenciada e auditável de transferência de arquivos — exatamente os ambientes com requisitos rigorosos de conformidade em torno do movimento de dados. O Serv-U compete no mesmo espaço que MOVEit Transfer e GoAnywhere MFT, dois produtos que foram explorados em larga escala em anos anteriores.

A base instalada é substancial. Milhares de organizações globalmente usam o Serv-U, muitas como um pipeline de dados crítico — arquivos de pagamento de entrada, transferências de registros médicos, submissões regulatórias. Uma instância do Serv-U fora do ar não é um mero inconveniente; ela quebra fluxos de trabalho dos quais outros sistemas dependem.

A vulnerabilidade: como o ataque funciona

CVE-2026-28318 é classificada como CWE-400: Consumo descontrolado de recursos. A falha reside em como o Serv-U lida com solicitações HTTP POST que incluem um cabeçalho Content-Encoding: deflate.

O cabeçalho Content-Encoding: deflate informa ao servidor web que o corpo da solicitação foi comprimido usando o algoritmo deflate, e que o servidor deve descomprimi-lo antes do processamento. Um cliente legítimo usa isso para reduzir largura de banda ao enviar cargas grandes. No caso do Serv-U, uma falha no manuseio da descompressão significa que uma solicitação manipulada — onde a entrada comprimida é projetada para expandir para um tamanho desproporcionalmente grande quando descomprimida — faz com que o serviço Serv-U consuma toda a memória ou CPU disponível até travar. Esse tipo de ataque é às vezes chamado de "bomba zip" ou bomba de descompressão, adaptada para HTTP.

O detalhe crítico é que nenhuma autenticação é necessária. Um atacante na internet pública pode enviar uma única solicitação POST malformada para uma instância do Serv-U e derrubar o serviço. Não há necessidade de ter uma conta válida, adivinhar credenciais ou explorar uma segunda vulnerabilidade primeiro. A superfície de ataque é toda instância do Serv-U acessível na rede.

O que fazer agora

Aplique o patch imediatamente. Atualize para Serv-U 15.5.4 Hotfix 1. A SolarWinds publicou a atualização através de seu canal padrão de atualização de software. Esta é a única correção completa.

Se o patch não puder ser aplicado imediatamente devido a janelas de gerenciamento de mudanças ou restrições operacionais, aplique ambas as mitigações provisórias em paralelo:

• Lista de permissão de IP: Restrinja o acesso à interface HTTP/HTTPS do Serv-U a endereços ou faixas IP conhecidos e confiáveis. Isso não corrige a vulnerabilidade, mas remove a superfície de ataque remota não autenticada para endereços fora da lista de permissão.
• Bloquear solicitações POST contendo o cabeçalho content-encoding: Se um proxy reverso, firewall de aplicação web ou dispositivo de rede estiver na frente do Serv-U, configure uma regra para descartar ou rejeitar solicitações HTTP POST que incluam um cabeçalho Content-Encoding antes que cheguem ao serviço Serv-U. A maioria das plataformas WAF empresariais suporta isso como uma regra simples de correspondência de cabeçalho.

Ambas as mitigações são soluções alternativas, não correções. Elas reduzem a explorabilidade enquanto o patch está sendo testado e implantado, mas não eliminam a vulnerabilidade subjacente. Trate-as como medidas provisórias de horas a dias, não como soluções de semanas.

BOD 22-01: o que significa além das agências federais

A Diretiva Operacional Vinculante 22-01, emitida pela CISA em novembro de 2021, exige que todas as agências FCEB remediem vulnerabilidades listadas no catálogo KEV dentro de prazos definidos — tipicamente 14 dias para falhas ativamente exploradas, embora a CISA possa definir janelas mais curtas para casos críticos. A diretiva não tem autoridade legal sobre organizações do setor privado.

Na prática, a BOD 22-01 tornou-se um padrão de fato para aplicação de patches em empresas e contratantes governamentais. Muitas organizações que não são agências FCEB adotaram os prazos de remediação do KEV como seu padrão interno — em parte porque é uma política claramente definida e defensável, e em parte porque as seleções do KEV pela CISA têm um forte histórico de prever quais vulnerabilidades serão usadas em campanhas de ransomware e intrusão. Contratantes governamentais que lidam com dados federais sob as estruturas FedRAMP, DFARS ou CMMC geralmente têm obrigações contratuais que exigem corrigir rapidamente vulnerabilidades exploradas, tornando a listagem do KEV pela CISA um gatilho de conformidade mesmo sem um mandato direto da BOD 22-01.

A orientação prática: se sua organização usa o Serv-U, trate isso como urgente, independentemente de ser uma agência federal. A janela de patch que a CISA deu às agências federais — onze dias — é um alvo interno razoável para qualquer ambiente de produção.

O padrão: software de transferência de arquivos como alvo de alto valor

CVE-2026-28318 continua uma tendência que a comunidade de segurança vem acompanhando desde 2023. Software de transferência de arquivos gerenciado está em uma posição estruturalmente atraente para atacantes: lida com dados sensíveis, muitas vezes é voltado para a internet por design, executa com privilégios de conta de serviço que podem ser aproveitados para movimento lateral, e é usado por organizações exatamente nos setores — saúde, finanças, governo — que têm tanto dados de alto valor quanto processos de patch complexos.

O MOVEit Transfer (CVE-2023-34362) foi explorado pelo grupo de ransomware Cl0p em maio de 2023, comprometendo centenas de organizações globalmente e expondo dados de dezenas de milhões de indivíduos. O GoAnywhere MFT (CVE-2023-0669) foi explorado pelo mesmo grupo meses antes em uma campanha de exploração em massa similar. Ambos eram falhas de dia zero na época da exploração. A CVE-2026-28318 no Serv-U segue o mesmo padrão de superfície de ataque: voltado para internet, crítico para a empresa, caminho de ataque não autenticado.

A diferença com esta vulnerabilidade é que um patch existe e o ataque atualmente está causando negação de serviço em vez de exfiltração de dados — o que significa que o dano imediato é interrupção operacional em vez de uma violação. Isso não significa que o perfil de risco seja baixo; um servidor de transferência de arquivos fora do ar em um ambiente regulado pode desencadear incidentes de conformidade, interromper fluxos de trabalho sensíveis ao tempo e criar condições que outros vetores de ataque exploram. O patch está disponível. A janela é curta. Não há razão para esperar.