SolarWinds Serv-U: Luka DoS aktywnie wykorzystywana . Alert CVE-2026-28318

5 czerwca 2026 roku amerykańska agencja CISA (Cybersecurity and Infrastructure Security Agency) dodała jedną nową pozycję do swojego katalogu znanych, aktywnie wykorzystywanych podatności ¹. Jest nią luka oznaczona jako CVE-2026-28318 w oprogramowaniu SolarWinds Serv-U, popularnym narzędziu do zarządzania transferem plików. Wpisanie luki do katalogu KEV (Known Exploited Vulnerabilities) to jednoznaczny sygnał: to nie jest teoretyczne ryzyko, to zagrożenie obserwowane w rzeczywistych atakach ², jak wskazuje źródło ³.

Podatność pozwala nieuwierzytelnionemu atakującemu na zdalne wywołanie awarii usługi, co klasyfikuje się jako atak DoS (Denial of Service — atak odmowy usługi). Choć ataki DoS bywają niedoceniane, ich obecność na liście KEV może świadczyć o realnym wpływie na ciągłość działania biznesu ^{4 5}. Dla polskich firm, zwłaszcza tych podlegających pod dyrektywę NIS2, zapewnienie dostępności krytycznych systemów jest obowiązkiem regulacyjnym. Awaria kluczowej bramy transferu plików może sparaliżować logistykę, finanse lub wymianę danych z partnerami.

TL;DR

• Produkt: SolarWinds Serv-U, wszystkie wersje do 15.5.4.
• Wektor: Nieuwierzytelnione, specjalnie spreparowane żądanie POST z nagłówkiem Content-Encoding: deflate ⁶.
• Identyfikator: CVE-2026-28318 (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki). Ocena CVSS (Common Vulnerability Scoring System) to 7.5 (High).
• Skutek: Zdalne wywołanie awarii usługi (Denial of Service), prowadzące do niedostępności serwera transferu plików.
• Status: Aktywnie wykorzystywana w atakach, potwierdzone wpisem do katalogu CISA KEV z dnia 5 czerwca 2026 ^{2 1}.
• Kogo dotyczy: Wszystkie organizacje, w tym polskie firmy z sektora MŚP i korporacyjnego, które używają SolarWinds Serv-U do wymiany plików.
• Pierwszy ruch: Natychmiastowa aktualizacja do najnowszej wersji lub, jeśli to niemożliwe, wdrożenie kroków mitygujących udostępnionych przez SolarWinds ⁷.

Wektor ataku

Podatność oznaczona jako CVE-2026-28318 leży w sposobie, w jaki serwer Serv-U przetwarza przychodzące żądania HTTP. Atakujący może wysłać specjalnie przygotowane żądanie typu POST, które w nagłówku zawiera pole Content-Encoding: deflate ⁶. Serwer, próbując zinterpretować taką treść, napotyka błąd prowadzący do niekontrolowanego zużycia zasobów, co jest klasyfikowane jako błąd typu CWE-400 (Common Weakness Enumeration — klasyfikacja typów luk) ⁸. W rezultacie usługa może ulec awarii i przestać odpowiadać, odcinając użytkownikom dostęp do funkcji transferu plików.

Kluczowe jest to, że atak nie wymaga żadnego uwierzytelnienia. Każdy, kto zna adres IP serwera Serv-U wystawionego do internetu, może spróbować go sparaliżować.

Dlaczego atak DoS trafił na listę KEV?

Katalog CISA KEV jest narzędziem oddzielającym ryzyko teoretyczne od obserwowanego w praktyce ³. Umieszczenie na nim luki typu DoS jest znaczące. Zespoły bezpieczeństwa często traktują takie podatności jako uciążliwe, ale nie krytyczne ⁴. To może być błąd w ocenie ryzyka, zwłaszcza gdy dotyczy usługi kluczowej dla działania firmy, jak brama do transferu plików ⁵.

Zaobserwowano, że operatorzy zagrożeń wykorzystują ataki DoS w kilku celach:

1. Bezpośrednia destrukcja biznesowa: Jeśli serwer plików jest niezbędny do procesów logistycznych, fakturowania czy komunikacji z klientami, jego wyłączenie może powodować natychmiastowe straty finansowe i operacyjne ⁹. Dostępność jest fundamentalną właściwością bezpieczeństwa, a nie tylko metryką czasu pracy systemu ¹⁰.

2. Rekonesans: Atak DoS może służyć jako tania i prosta metoda sprawdzenia, czy dana usługa jest aktywna, czy jest podatna na konkretną lukę, a także jak szybko reaguje zespół SOC (Security Operations Center — zespół monitoringu bezpieczeństwa) i czy w ogóle monitoruje takie zdarzenia ¹¹.

3. Zasłona dymna i wywieranie presji: Nagła awaria krytycznej usługi generuje presję na administratorach i zespole reagowania. W chaosie poszukiwania rozwiązania łatwo o błędy: otwarcie dodatkowego, niezabezpieczonego portu, przywrócenie serwera ze starszej, jeszcze bardziej podatnej kopii zapasowej, czy wyłączenie reguł inspekcji ruchu w firewallu, aby „usprawnić” diagnostykę ¹². Atakujący może wykorzystać ten moment zamieszania do przeprowadzenia właściwego ataku, np. kradzieży danych inną, mniej oczywistą ścieżką.

Obecność CVE-2026-28318 w katalogu KEV jest więc sygnałem, że przynajmniej jeden z tych scenariuszy jest aktywnie realizowany przez grupy atakujące.

Wskaźniki kompromitacji

Na ten moment nie opublikowano konkretnych wskaźników kompromitacji (IoC – Indicators of Compromise), takich jak adresy IP czy domeny atakujących. Jednak charakter ataku pozwala na jego wykrycie poprzez analizę logów serwera webowego lub urządzeń brzegowych (firewall, WAF).

Zespoły bezpieczeństwa powinny aktywnie poszukiwać w logach następujących wzorców:

# Wzorzec do wyszukania w logach dostępowych serwera HTTP
# Zwróć uwagę na żądania POST z nietypowym nagłówkiem Content-Encoding

POST /path/to/serv-u/endpoint HTTP/1.1
Host: serv-u.przykladowa-firma.pl
Content-Encoding: deflate
Content-Length: [dowolna_wartosc]
...

Należy skonfigurować alerty na wystąpienia żądań z nagłówkiem Content-Encoding: deflate kierowanych do serwerów Serv-U.

Co zrobić w 24-48h

Reakcja powinna być natychmiastowa, biorąc pod uwagę potwierdzone, aktywne wykorzystanie luki. Poniższe kroki stanowią zalecane podejście i nie zastępują pełnej konsultacji bezpieczeństwa.

1. Identyfikacja zasobów: Pilnie zidentyfikuj wszystkie instancje SolarWinds Serv-U w swojej infrastrukturze. Dotyczy to zarówno serwerów produkcyjnych, jak i środowisk testowych czy deweloperskich, jeśli są dostępne z zewnątrz.

2. Aktualizacja (Priorytet #1): Zastosuj aktualizację udostępnioną przez SolarWinds, która eliminuje podatność. Jest to najskuteczniejsza metoda ochrony. Należy wdrożyć wersję 15.5.4 lub nowszą.

3. Mitygacja (jeśli aktualizacja jest niemożliwa): Jeśli natychmiastowa aktualizacja nie jest możliwa z przyczyn operacyjnych, SolarWinds udostępnił tymczasowe kroki zaradcze w swoim centrum zaufania (Trust Center) ⁷. Zazwyczaj polegają one na modyfikacji konfiguracji w celu zablokowania wektora ataku.

4. Weryfikacja i monitoring: Po wdrożeniu poprawki lub mitygacji, zweryfikuj, czy serwer jest odporny na atak. Przeszukaj logi historyczne pod kątem prób wykorzystania luki. Wdróż reguły monitoringu w systemach SIEM/EDR, aby wykrywać przyszłe próby.

5. Kontekst regulacyjny (Polska): Dla polskich firm, które są operatorami usług kluczowych lub dostawcami usług cyfrowych w rozumieniu dyrektywy NIS2, zarządzanie takimi podatnościami jest kluczowe. Niekontrolowana awaria systemu do transferu plików może zostać uznana za incydent mający istotny wpływ na ciągłość świadczenia usługi, co wiąże się z obowiązkiem raportowania do właściwego CSIRT. Katalog CISA KEV, choć prawnie wiążący tylko dla amerykańskich agencji federalnych ^{13 14}, stał się de facto standardem i jednym z najważniejszych sygnałów dla zespołów bezpieczeństwa na całym świecie, wskazującym, które luki należy łatać w pierwszej kolejności ¹⁵.

Źródła

Zobacz też

• CVE-2026-45505: Krytyczna luka RCE w Apache ActiveMQ
• Luka RCE w Microsoft Edge (CVE-2026-45495) – pilna aktualizacja
• Luka w Ivanti EPMM (CVE-2026-10727) pozwala na przejęcie serwera
• Krytyczna luka DoS w Erlang/OTP zagraża systemom wysokiej dostępności

Footnotes

1. CISA dodała CVE-2026-28318 do swojego katalogu Known Exploited Vulnerabilities 5 czerwca 2026 roku. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩ ↩²

2. CVE-2026-28318 znajduje się w katalogu CISA Known Exploited Vulnerabilities. — https://nvd.nist.gov/vuln/detail/CVE-2026-28318 ↩ ↩²

3. Katalog Known Exploited Vulnerabilities CISA oddziela ryzyko teoretyczne od ryzyka obserwowanego. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩ ↩²

4. Luka w Serv-U należy do kategorii, którą obrońcy czasami niedoceniają. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩ ↩²

5. Atak typu Denial of Service (DoS) może być błędnie sklasyfikowany jako uciążliwość, nawet jeśli docelowa usługa jest krytycznym punktem wymiany plików. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩ ↩²

6. SolarWinds Serv-U jest podatny na specjalnie spreparowane żądania POST, które powodują awarię usługi Serv-U bez uwierzytelnienia, używając Content-Encoding: deflate. — https://nvd.nist.gov/vuln/detail/CVE-2026-28318 ↩ ↩²

7. Dostępne są kroki łagodzące w SolarWinds Trust Center, jeśli nie można wdrożyć aktualizacji. — https://nvd.nist.gov/vuln/detail/CVE-2026-28318 ↩ ↩²

8. Klasa podatności stojąca za CVE-2026-28318 to CWE-400, niekontrolowane zużycie zasobów. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

9. Jeśli bramka transferu plików może zostać zdalnie wyłączona bez uwierzytelnienia, atakujący może nie kraść danych, ale może zakłócić procesy biznesowe. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

10. Dostępność jest właściwością bezpieczeństwa, a nie tylko metryką czasu pracy. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

11. Zdarzenie typu denial-of-service może być wykorzystane do sprawdzenia, czy usługa istnieje, czy jest podatna na ataki, czy monitoring alarmuje i jak szybko reagują obrońcy. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

12. Może również stworzyć presję, która prowadzi do błędów, takich jak otwarcie alternatywnego portu, przywrócenie starszego serwera, wyłączenie reguły inspekcji lub przekierowanie ruchu na mniej monitorowaną ścieżkę. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

13. Dla federalnych agencji wykonawczych, Binding Operational Directive 22-01 sprawia, że katalog KEV jest czymś więcej niż tylko wytycznymi. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

14. Agencje są zobowiązane do usunięcia wymienionych luk zgodnie z harmonogramem CISA, zazwyczaj poprzez zastosowanie aktualizacji dostawcy, środków łagodzących lub usunięcie dotkniętego produktu z użytku, gdy poprawki nie są dostępne. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩

15. Dla pozostałych podmiotów, KEV nie jest prawnie wiążący, ale stał się jednym z najjaśniejszych sygnałów w zarządzaniu lukami. — https://windowsforum.com/threads/cisa-kev-adds-solarwinds-serv-u-cve-2026-28318-patch-crash-dos-now.423158/ ↩