Sin contraseña ni cuenta, 12.000 servidores: nueva vulnerabilidad en SolarWinds permite tumbar un servidor con una sola petición
EE. UU. reconoce que una vulnerabilidad de SolarWinds se está explotando activamente y da a las agencias federales un plazo de dos semanas
La vulnerabilidad en SolarWinds Serv-U ya ha comenzado a utilizarse en ataques. Los atacantes no necesitan ni contraseña ni acceso a una cuenta: basta con enviar una solicitud especialmente preparada para dejar el servidor fuera de servicio. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió que los atacantes están explotando activamente la vulnerabilidad recientemente corregida CVE-2026-28318 (CVSS3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H — 7.5 (High)) en SolarWinds Serv-U. El problema permite provocar de forma remota una denegación de servicio.
Serv-U se utiliza para transferir archivos en entornos Windows y Linux. El programa admite intercambio de archivos gestionado y el funcionamiento de servidores FTP, FTPS, SFTP, HTTP y HTTPS, a través de los cuales las empresas transfieren datos dentro de su infraestructura y a destinatarios externos.
SolarWinds publicó la corrección Serv-U 15.5.4 Hotfix 1 el 4 de junio. Según la compañía, la falla se debe a un consumo descontrolado de recursos. La vulnerabilidad se activa cuando el servidor recibe una solicitud POST especialmente elaborada con el encabezado Content-Encoding: deflate. Dicha solicitud puede causar el cierre inesperado del servicio Serv-U, sin pasar por la autenticación.
El ataque no requiere privilegios en el sistema ni acciones por parte del usuario y es técnicamente fácil de ejecutar. Si los administradores no pueden aplicar la actualización rápidamente, SolarWinds recomienda restringir temporalmente el acceso a Serv-U solo a direcciones de confianza y bloquear las solicitudes POST que contengan content-encoding. Según la compañía, esa función no es necesaria para el servicio vulnerable.
Según Shodan, en Internet ahora están expuestos más de 12 000 servidores Serv-U. Shadowserver detecta algo más de 3 100 de esos sistemas. No se sabe cuántos de ellos ya han recibido la corrección. Unos días después de que se publicó la actualización, la agencia estadounidense añadió CVE-2026-28318 al catálogo de vulnerabilidades explotadas activamente (KEV). Las agencias civiles federales de EE. UU. deben corregir el problema antes del 19 de junio según la directiva BOD 22-01.
Formalmente el requisito afecta solo a los organismos estatales estadounidenses, pero la agencia instó a todas las organizaciones a proteger sus redes lo antes posible. El organismo advirtió que las vulnerabilidades de este tipo a menudo se convierten en un punto de entrada conveniente para los atacantes y suponen riesgos graves para la infraestructura federal.
Serv-U ya ha llamado la atención de grupos criminales y estatales en varias ocasiones. En 2021 el grupo Clop usó la vulnerabilidad CVE-2021-35211 para infiltrarse en redes corporativas. La misma vulnerabilidad fue usada por los hackers chinos DEV-0322 en ataques de día cero.
En junio de 2024 se supo que los atacantes estaban explotando activamente otra vulnerabilidad de Serv-U que permitía eludir rutas en el sistema de archivos. En los últimos años la agencia estadounidense reconoció 11 vulnerabilidades en distintos productos de SolarWinds como ya explotadas en ataques, y una de ellas también fue utilizada por grupos de ransomware.