A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, adicionou uma vulnerabilidade de alta severidade que afeta o SolarWinds Serv-U ao catálogo Known Exploited Vulnerabilities, conhecido como KEV, após identificar evidências de exploração ativa. A falha, rastreada como CVE-2026-28318, recebeu pontuação CVSS 7.5 e pode causar uma condição de negação de serviço no software de servidor de arquivos multiprotocolo da SolarWinds.

O SolarWinds Serv-U é utilizado por organizações para transferência e gerenciamento de arquivos por diferentes protocolos. Por esse motivo, uma indisponibilidade provocada por exploração da falha pode afetar operações que dependem da troca contínua de arquivos entre sistemas, usuários, parceiros ou ambientes corporativos. Embora a vulnerabilidade não tenha sido descrita como uma falha de execução remota de código, seu impacto está diretamente relacionado à disponibilidade do serviço.

De acordo com a CISA, a CVE-2026-28318 é uma vulnerabilidade de consumo descontrolado de recursos que resulta em uma condição de DoS. Na prática, isso significa que um invasor pode explorar um comportamento inadequado no processamento de determinadas requisições para fazer o serviço Serv-U travar, interrompendo sua operação normal.

A SolarWinds informou que o Serv-U é suscetível a requisições POST especialmente criadas, capazes de derrubar o serviço sem necessidade de autenticação quando utilizam o cabeçalho Content-Encoding: deflate. Esse detalhe técnico é relevante porque indica que a exploração não exige credenciais válidas. Um atacante capaz de alcançar a interface vulnerável pode enviar a requisição maliciosa e provocar o crash do serviço.

A cadeia de ataque descrita até o momento é relativamente direta. Primeiro, o invasor identifica uma instância vulnerável do SolarWinds Serv-U exposta ou acessível em rede. Em seguida, envia uma requisição POST criada especificamente para acionar o consumo indevido de recursos. Quando a requisição é processada pelo serviço vulnerável, o Serv-U falha e deixa de responder, gerando indisponibilidade para usuários e sistemas que dependem dele.

A falha foi corrigida na versão SolarWinds Serv-U 15.5.4 HF1. Para organizações que não conseguem aplicar a atualização imediatamente, a SolarWinds recomenda restringir o acesso ao serviço apenas a endereços conhecidos e bloquear qualquer requisição contendo “content-encoding”, já que a funcionalidade vulnerável não é necessária para o funcionamento do serviço afetado.

Essas medidas de mitigação podem reduzir a exposição enquanto a correção definitiva não é aplicada. No entanto, como a vulnerabilidade já foi incluída no catálogo KEV da CISA, a recomendação prioritária é atualizar o produto o quanto antes. A presença de uma CVE no KEV indica que há evidências de exploração em ambiente real, o que aumenta a urgência para equipes de segurança, infraestrutura e resposta a incidentes.

Até o momento, não há detalhes públicos sobre como a CVE-2026-28318 está sendo explorada em ataques reais, quais setores foram afetados ou quem está por trás da atividade. Também não está claro quantas instâncias do Serv-U expostas à internet podem ter sido comprometidas ou impactadas. A ausência desses detalhes, porém, não reduz a gravidade operacional da falha, especialmente para ambientes que dependem do Serv-U em processos críticos de transferência de arquivos.

A CISA determinou que as agências federais civis do Poder Executivo dos Estados Unidos corrijam a vulnerabilidade até 19 de junho de 2026. Embora essa exigência seja obrigatória apenas para órgãos federais norte-americanos, o catálogo KEV é amplamente utilizado por empresas privadas, equipes de segurança e gestores de vulnerabilidades como referência para priorização de patches.

O caso também chama atenção pelo histórico do SolarWinds Serv-U como alvo de exploração por invasores. Em anos anteriores, outras falhas no produto foram exploradas por agentes maliciosos, incluindo grupos associados ao ransomware Cl0p. Esse histórico torna ainda mais importante a revisão de exposição, a aplicação de correções e o monitoramento de tentativas de exploração contra servidores Serv-U.

Do ponto de vista de risco corporativo, uma falha de negação de serviço em um servidor de transferência de arquivos pode gerar efeitos significativos. Organizações que usam o Serv-U para troca de documentos, integração com parceiros, movimentação de arquivos sensíveis ou automações internas podem sofrer interrupções em processos de negócio. Em ambientes nos quais o serviço está integrado a fluxos operacionais, a indisponibilidade pode afetar prazos, entregas, atendimento a clientes e continuidade operacional.

Para equipes técnicas, a prioridade deve ser identificar instâncias do SolarWinds Serv-U em uso, verificar a versão instalada, aplicar a atualização 15.5.4 HF1 e revisar a exposição do serviço à internet. Também é recomendável limitar o acesso por listas de endereços confiáveis, avaliar regras de firewall e WAF, bloquear requisições com o cabeçalho vulnerável quando possível e monitorar logs em busca de padrões anômalos de requisições POST.

Além disso, organizações devem tratar a inclusão no KEV como um gatilho de priorização no processo de gestão de vulnerabilidades. Mesmo que a falha tenha impacto de disponibilidade, e não de execução de código ou roubo direto de dados, a exploração ativa indica que invasores já estão tentando abusar da vulnerabilidade. Em ambientes críticos, indisponibilidade também é um risco de segurança, especialmente quando afeta serviços usados para operações essenciais.

A correção rápida da CVE-2026-28318 reforça a importância de inventário de ativos, exposição controlada de serviços de borda e processos bem definidos de aplicação de patches. Servidores de transferência de arquivos costumam lidar com dados sensíveis e se conectam a múltiplos fluxos corporativos, o que torna qualquer instância exposta um ponto relevante na superfície de ataque.