CISA hat CVE-2026-28318 in den KEV-Katalog aufgenommen und dies mit Nachweisen für eine aktive Ausnutzung begründet. Die Schwachstelle betrifft SolarWinds Serv-U, eine Multi-Protokoll-Dateiserver-Software, und wird mit einem CVSS-Wert von 7,5 als schwerwiegend eingestuft.
Nach Darstellung von CISA handelt es sich um eine Schwachstelle durch unkontrollierte Ressourcennutzung, die einen Denial-of-Service-Zustand auslöst. Der Effekt besteht darin, dass der Dienst unter bestimmten Bedingungen abstürzt.
SolarWinds beschrieb die Ursache in einem Sicherheitshinweis näher: Serv-U sei anfällig für speziell gestaltete POST-Anfragen, die den Dienst ohne Authentifizierung zum Absturz bringen. Voraussetzung ist demnach die Verwendung von „Content-Encoding: deflate“.
Behoben wurde die Lücke laut SolarWinds in Serv-U Version 15.5.4 HF1. Als Gegenmaßnahmen empfiehlt das Unternehmen, den Zugriff auf bekannte Adressen zu beschränken und sämtliche Anfragen zu blockieren, die „content-encoding“ enthalten. Zur Begründung heißt es, dass der betroffene Dienst diese Funktion nicht benötigt.
Offen bleibt bislang, wie die Schwachstelle bei Angriffen außerhalb von Testumgebungen konkret ausgenutzt wird und wer hinter den Aktivitäten steckt. Ebenfalls unklar ist, ob und gegebenenfalls wie viele direkt aus dem Internet erreichbare Serv-U-Instanzen kompromittiert wurden.
CISA hat die Behörden der Federal Civilian Executive Branch angewiesen, die Lücke bis zum 19. Juni 2026 zu beheben. In der Vergangenheit wurden bereits mehrere Schwachstellen in Serv-U von Angreifern ausgenutzt, darunter auch Akteure mit Verbindung zur Ransomware-Gruppe Cl0p.