Alerta de Seguridad: SolarWinds Serv-U Consumo No Controlado de Recursos vía POST sin Autenticación (CVE-2026-28318)

Contexto técnico: SolarWinds Serv-U es una solución ampliamente desplegada de transferencia de archivos administrada (MFT/FTP/SFTP/SCP) utilizada en entornos corporativos y gubernamentales para gestión segura de ficheros. La vulnerabilidad identificada como CVE-2026-28318 afecta al componente de procesamiento de solicitudes HTTP/HTTPS del servicio Serv-U y está clasificada bajo CWE-400 (Uncontrolled Resource Consumption), comúnmente conocida como vulnerabilidad de agotamiento de recursos.

Mecánica del exploit: Un atacante remoto no autenticado puede enviar peticiones HTTP POST especialmente manipuladas que incluyen la cabecera Content-Encoding: deflate. El servidor Serv-U procesa el cuerpo de estas peticiones intentando descomprimir el contenido deflate sin imponer límites adecuados sobre los recursos consumidos durante dicho proceso (CPU, memoria o ambos). Esta condición provoca el agotamiento de recursos del proceso y resulta en la terminación abrupta (crash) del servicio Serv-U, dejándolo completamente inoperativo. La ausencia de requerimiento de autenticación hace que el vector sea trivialmente explotable desde Internet o desde cualquier red con acceso al puerto de escucha del servicio.

Impacto potencial: La explotación exitosa de esta vulnerabilidad produce una Denegación de Servicio (DoS) completa del servicio Serv-U, interrumpiendo todas las operaciones de transferencia de ficheros dependientes del mismo. En entornos donde Serv-U gestiona transferencias críticas de negocio, cadenas de suministro de datos o procesos automatizados, el impacto operacional puede ser significativo. Adicionalmente, la interrupción del servicio puede ser utilizada como vector auxiliar para enmascarar otras actividades maliciosas o como paso previo en cadenas de ataque más complejas. CISA ha incluido esta vulnerabilidad en el Known Exploited Vulnerabilities (KEV) Catalog, confirmando explotación activa en entornos reales.

Clasificación: CWE-400 | CVSS: pendiente de puntuación oficial | Explotación: confirmada activa (CISA KEV) | Autenticación requerida: Ninguna.

• Acción prioritaria — Aplicar parche oficial: Actualizar SolarWinds Serv-U a la versión 15.5.4 Hotfix 1 o posterior, que corrige esta vulnerabilidad según el advisory oficial del fabricante. Consultar las notas de versión en: Serv-U 15.5.4 Hotfix 1 Release Notes.
• Fecha límite FCEB (BOD 22-01): Las agencias del gobierno federal de EE.UU. deben aplicar la mitigación antes del 19 de junio de 2026. Las organizaciones del sector privado deben tratar esta fecha como referencia de urgencia.
• Versiones afectadas: Todas las versiones de SolarWinds Serv-U anteriores a 15.5.4 Hotfix 1. Verificar la versión instalada desde la consola de administración de Serv-U o mediante el portal SolarWinds Customer Portal.
• Medida de mitigación temporal (si el parche no puede aplicarse inmediatamente): Restringir el acceso al servicio Serv-U mediante reglas de firewall perimetral y WAF, limitando las conexiones únicamente a rangos de IP de origen conocidos y legítimos. Considerar la desactivación temporal del servicio si no es operativamente crítico hasta la aplicación del parche.
• Implementar monitorización activa: Revisar logs del servicio Serv-U en busca de solicitudes POST anómalas con cabecera Content-Encoding: deflate de orígenes no autorizados. Configurar alertas en SIEM para patrones de reinicio inesperado del proceso Serv-U (Serv-U.exe).
• Seguir las instrucciones del fabricante: Consultar el advisory de seguridad oficial de SolarWinds en el Trust Center: SolarWinds Security Advisory CVE-2026-28318.
• Discontinuación: Si no existen mitigaciones aplicables en el entorno, CISA recomienda explícitamente discontinuar el uso del producto hasta que pueda actualizarse de forma segura.