技術的な説明
CISA は 2026 年 6 月 5 日に CVE-2026-28318 を既知の悪用脆弱性カタログに追加しました。SolarWinds Serv-U(マネージドファイル転送サーバー)は、「Content-Encoding: deflate」を使用する特別に細工された認証なしの POST リクエストに対して脆弱であり、Serv-U サービスをクラッシュさせます。これは制御されないリソース消費(CWE-400)の欠陥です。このバグにより、インターネット接続ファイル転送インフラに対してリモート認証なしのサービス拒否攻撃が可能になります。SolarWinds Serv-U は、エンタープライズによってパートナーファイル交換、財務データ転送、コンプライアンスワークフロー、および自動データパイプラインに使用されています。
攻撃経路
認証なしのリモート攻撃者が、Content-Encoding: deflate を含む細工された POST リクエストを Serv-U サービスに送信します。認証情報、事前アクセス、またはユーザーインタラクションは不要です。積極的な悪用が確認されています。
影響を受けるシステム
SolarWinds Serv-U バージョン 15.5.4 Hotfix 1 より前のすべてのバージョン、および Serv-U 15.5.4 ベースライン(ホットフィックス前)。SolarWinds Serv-U はエンタープライズ、ヘルスケア、金融サービス、および政府環境に広く導入されています。
緩和策
SolarWinds Serv-U 15.5.4 Hotfix 1 を直ちに適用してください。BOD 22-01 に従い、連邦文民機関は 2026 年 6 月 19 日までに修復することが義務付けられています。パッチを直ちに適用できない場合、SolarWinds はその Trust Center アドバイザリで中間的な緩和手順を公開しています。一時的な制御として、ネットワークレイヤーで認証なしの POST アクセスを制限することを検討してください。