Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
SolarWinds Serv-U nel mirino CISA: CVE-2026-28318 sfruttata attivamente, rischio crash senza login
La CISA ha inserito nel catalogo KEV (Known Exploited Vulnerabilities) una vulnerabilità ad alta gravità che interessa SolarWinds Serv-U, un software molto diffuso come file server multiprotocollo. La presenza nel KEV è un segnale importante per chi si occupa di cybersecurity e patch management, perché indica evidenze di sfruttamento attivo e quindi un rischio concreto per i sistemi esposti su Internet.
La falla è tracciata come CVE-2026-28318 con punteggio CVSS 7.5 e riguarda una condizione di denial of service. In pratica un attaccante può provocare il crash del servizio e rendere indisponibile Serv-U, impattando operatività e continuità del business. Il problema viene descritto come consumo incontrollato di risorse, una categoria di bug che può saturare memoria o risorse di elaborazione fino al blocco del servizio.
Un elemento rilevante è che l’attacco può essere avviato senza autenticazione. Secondo la descrizione tecnica, Serv-U risulta vulnerabile a richieste POST appositamente costruite che includono l’header Content-Encoding impostato su deflate. Questo dettaglio è utile sia per la difesa sia per l’analisi dei log, perché consente di cercare indicatori specifici nelle richieste HTTP e nei reverse proxy eventualmente posti davanti al servizio.
SolarWinds ha rilasciato una correzione: l’aggiornamento consigliato è Serv-U versione 15.5.4 HF1. In un contesto di gestione delle vulnerabilità, la priorità dovrebbe essere identificare tutte le istanze Serv-U, verificare la versione installata, valutare l’esposizione verso l’esterno e applicare la patch nel più breve tempo possibile, soprattutto su sistemi pubblicamente raggiungibili.
Misure di mitigazione temporanee
- Limitare l’accesso solo a indirizzi noti e fidati.
- Bloccare le richieste che contengono Content-Encoding, dato che la funzionalità non è necessaria al servizio vulnerabile.
- Rafforzare il monitoraggio, ad esempio con alert su crash ripetuti del servizio e picchi anomali di richieste POST.
La CISA ha inoltre richiesto alle agenzie FCEB di risolvere il problema entro il 19 giugno 2026, un indicatore ulteriore dell’urgenza. Anche se non sono stati divulgati dettagli su campagne reali, autori o numero di istanze compromesse, la storia di Serv-U mostra che vulnerabilità precedenti sono state sfruttate da attori malevoli, inclusi gruppi legati al ransomware.