技術的な説明
CISA は2026年6月5日に CVE-2026-28318 を既知の悪用可能な脆弱性カタログに追加しました。SolarWinds Serv-U(マネージドファイル転送サーバー)は、「Content-Encoding: deflate」を使用した特殊に細工された認証なしの POST リクエストに対して脆弱であり、Serv-U サービスをクラッシュさせます。これは制御されないリソース消費(CWE-400)の欠陥です。このバグにより、インターネット公開ファイル転送インフラストラクチャへのリモート認証なしサービス拒否攻撃が可能になります。SolarWinds Serv-U は、パートナーファイル交換、財務データ転送、コンプライアンスワークフロー、および自動化されたデータパイプラインのために企業によって使用されています。
攻撃経路
認証なしのリモート攻撃者が「Content-Encoding: deflate」を含む細工されたPOSトリクエストをServ-Uサービスに送信します。認証情報、事前アクセス、またはユーザー操作は不要です。積極的な悪用が確認されています。
影響を受けるシステム
SolarWinds Serv-U 15.5.4 Hotfix 1より前のすべてのバージョン、および SolarWinds Serv-U 15.5.4 ベースライン(ホットフィックス前)。SolarWinds Serv-U は、企業、医療、金融サービス、および政府環境で広く導入されています。
緩和策
SolarWinds Serv-U 15.5.4 Hotfix 1 を直ちに適用してください。BOD 22-01に従い、連邦文民機関は2026年6月19日までに修復する必要があります。パッチの適用がすぐに不可能な場合、SolarWinds は Trust Center アドバイザリで暫定的な軽減手順を公開しています。一時的なコントロールとしてネットワークレイヤーで認証なしPOST アクセスを制限することを検討してください。