На этот раз под ударом оказались серверы, которые используют SolarWinds Serv-U для обмена файлами. CISA заявила, что злоумышленники уже применяют свежую уязвимость, чтобы вызвать отказ в обслуживании и уронить сервис.

Для компаний это не абстрактная новость из мира кибербезопасности, а риск простоя, срыва обмена документами и лишней нагрузки на ИТ-команду. Если такой сервер стоит на периметре и открыт в интернет, он становится удобной мишенью.

Что произошло и почему это важно

SolarWinds закрыла дыру в Serv-U горячим исправлением 15.5.4 Hotfix 1. Речь идет об ошибке отказа в обслуживании, которую трекер уязвимостей помечает как CVE-2026-28318.

По описанию компании, специально сформированный POST-запрос может обрушить службу Serv-U без авторизации. То есть атакующему не нужен пароль, а сама атака не выглядит сложной.

CISA довольно быстро добавила проблему в каталог известных эксплуатируемых уязвимостей. Это важный сигнал: речь идет не о теоретическом риске, а о реальных атаках, которые уже идут по интернету.

Какие есть варианты защиты

Первый и самый надежный путь — поставить обновление сразу после проверки совместимости. Для уязвимостей такого типа откладывать патч на потом опасно: сервер может лечь в любой момент.

Второй вариант — временно сузить круг доступа. Производитель советует ограничить вход только известными адресами и блокировать POST-запросы с заголовком content-encoding, если серверу эта функция не нужна.

Третий подход — убрать уязвимый сервис из публичного доступа, если он не критичен для бизнеса. Для части компаний это разумнее, чем держать интернет-экспозицию ради редких сценариев работы.

Четвертый вариант — держать резервный канал обмена файлами и мониторинг нагрузки. Это не закроет дыру, но поможет быстрее заметить отказ и снизить ущерб.

Если смотреть шире, похожая логика уже всплывала и в других историях, где уязвимости били по периметру компаний: например, в разборе по Cisco Catalyst SD-WAN Manager и в материале про дыру в Cisco Unified CM. Общий вывод один: внешний сервис без быстрого обновления долго не живет.

Кому что подходит

Малому бизнесу обычно хватает двух шагов: обновить сервер и закрыть его от всего лишнего. Если в компании один-два администратора, лучше не усложнять схему и не надеяться, что атака «пройдет мимо».

Среднему и крупному бизнесу нужен более строгий контроль: сегментация сети, журналирование, проверка экспозиций в интернет и план на случай отказа. Здесь уже важно не только поставить патч, но и понять, сколько таких серверов вообще работает в инфраструктуре.

Если сервер обслуживает партнеров или клиентов, его надо считать критичным. Даже краткий простой в таком узле может ударить по договорам, срокам и репутации.

Что делать прямо сейчас

  • Проверить, используется ли SolarWinds Serv-U и какая версия стоит на сервере.
  • Установить патч 15.5.4 Hotfix 1 после внутренней проверки совместимости.
  • Ограничить доступ к серверу только доверенными адресами.
  • Проверить журналы на странные POST-запросы и всплески нагрузки.
  • Подготовить резервный сценарий обмена файлами на случай простоя.
  • Если нужен дополнительный слой приватности в открытых Wi-Fi, оценить инструмент для приватного соединения как опцию для поездок и командировок.

Для админов здесь важна скорость, а не сложная теория. Чем дольше уязвимый сервер торчит в сети, тем выше шанс, что его начнут ронять уже не тестом, а в бою.

Поделиться: