CIBERPLANETA_
18 Jun 2026 · 02:12 Ciberplaneta News Vulnerabilidades 5 min de lectura
CVE-2026-28318: Vulnerabilidad DoS en SolarWinds Serv-U explotada activamente sin autenticación

CVE-2026-28318: Vulnerabilidad DoS en SolarWinds Serv-U explotada activamente sin autenticación

CVE-2026-28318: Vulnerabilidad de Consumo Descontrolado de Recursos en SolarWinds Serv-U

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha añadido CVE-2026-28318 a su catálogo de Known Exploited Vulnerabilities (KEV), confirmando la explotación activa de esta vulnerabilidad en entornos reales. Se trata de un fallo crítico de tipo Denegación de Servicio (DoS) que afecta a SolarWinds Serv-U, una plataforma ampliamente utilizada en entornos corporativos para la transferencia segura de ficheros mediante protocolos SFTP, FTP, FTPS y HTTPS. La vulnerabilidad permite a un atacante no autenticado provocar la caída completa del servicio Serv-U mediante el envío de peticiones HTTP POST especialmente manipuladas, sin necesidad de credenciales válidas.

Análisis Técnico

Esta vulnerabilidad está clasificada bajo CWE-400: Uncontrolled Resource Consumption, una debilidad que se produce cuando una aplicación no limita adecuadamente la cantidad de recursos que puede consumir en respuesta a una entrada externa. En este caso concreto, el vector de ataque reside en el tratamiento que Serv-U realiza de las peticiones HTTP POST que incluyen la cabecera Content-Encoding: deflate.

Mecanismo de Explotación

El protocolo HTTP permite que el cuerpo de una petición sea transmitido con distintos métodos de compresión mediante la cabecera Content-Encoding. El valor deflate indica que el cuerpo está comprimido utilizando el algoritmo zlib/DEFLATE. Serv-U, al procesar este tipo de peticiones, no implementa controles adecuados sobre los recursos consumidos durante la descompresión y procesamiento del contenido, lo que abre la puerta a un ataque conocido coloquialmente como "zip bomb" o bomba de descompresión.

Un atacante puede enviar una petición POST con un payload comprimido de reducido tamaño que, al ser descomprimido por el servidor, genera una carga de trabajo desproporcionada en términos de memoria y CPU. Este consumo descontrolado provoca la caída del servicio Serv-U (crash), dejándolo inoperativo hasta su reinicio manual o automático. El aspecto más preocupante desde el punto de vista de la seguridad es que este ataque no requiere autenticación previa, por lo que cualquier sistema Serv-U expuesto a redes no confiables —incluyendo Internet— es susceptible de ser explotado de forma trivial.

Clasificación y Puntuación

En el momento de publicación de este artículo, la puntuación CVSS oficial para CVE-2026-28318 aún no está disponible en el NVD. Sin embargo, considerando las características del vector de ataque —acceso remoto sin autenticación, baja complejidad de explotación y alto impacto sobre la disponibilidad del servicio—, se anticipa una puntuación elevada en la dimensión de disponibilidad según el framework CVSSv3.1. La clasificación CWE-400 refuerza la naturaleza del fallo como un problema de diseño en la gestión de recursos.

Impacto

El impacto principal de esta vulnerabilidad recae sobre la disponibilidad del servicio Serv-U. Las organizaciones que utilicen Serv-U como plataforma de transferencia de ficheros crítica pueden experimentar:

  • Interrupción total del servicio de transferencia de ficheros, afectando a operaciones de negocio dependientes de FTP/SFTP/FTPS/HTTPS.
  • Impacto en procesos automatizados que dependan del servicio, como pipelines de integración, transferencias programadas o intercambio de datos B2B.
  • Potencial uso como vector de distracción en ataques más complejos, aprovechando la caída del servicio para encubrir actividades maliciosas paralelas en la red.
  • Exposición a ataques de persistencia en el período de recuperación del servicio, si los procedimientos de reinicio no incluyen verificaciones de integridad.

Con respecto al uso en campañas de ransomware, CISA clasifica este dato como desconocido en el momento actual. No obstante, dado que la familia de productos SolarWinds ha sido objetivo de actores de amenazas avanzados en el pasado —incluyendo el incidente de la cadena de suministro de 2020—, cualquier vulnerabilidad en su ecosistema debe ser tratada con la máxima prioridad. La posibilidad de que este DoS sea explotado como fase inicial de un ataque más sofisticado no puede descartarse.

Productos Afectados

Según el advisory oficial de SolarWinds, la vulnerabilidad afecta a versiones de SolarWinds Serv-U anteriores a la versión parcheada. La corrección fue incluida en el hotfix documentado en las notas de versión de Serv-U 15.5.4 Hotfix 1. Los productos específicamente afectados incluyen:

  • SolarWinds Serv-U FTP Server
  • SolarWinds Serv-U MFT Server (Managed File Transfer)
  • SolarWinds Serv-U Gateway

Se recomienda a los administradores verificar la versión instalada en sus entornos y contrastar con las versiones afectadas detalladas en el advisory oficial del fabricante.

Recomendaciones

CISA, en el marco de la directiva BOD 22-01 (Binding Operational Directive), exige a las agencias federales estadounidenses la aplicación de las mitigaciones disponibles en los plazos establecidos. Para el resto de organizaciones, se recomiendan con carácter urgente las siguientes acciones:

  • Aplicar el parche oficial inmediatamente: Actualizar SolarWinds Serv-U a la versión 15.5.4 Hotfix 1 o superior, siguiendo las instrucciones del release notes oficial de SolarWinds.
  • Restringir el acceso al servicio Serv-U: Implementar reglas de firewall y listas de control de acceso (ACL) para limitar qué direcciones IP pueden realizar peticiones POST al servicio, especialmente desde Internet.
  • Desplegar un WAF o proxy inverso: Configurar un Web Application Firewall con reglas específicas para bloquear o limitar peticiones que utilicen la cabecera Content-Encoding: deflate con payloads sospechosos, como medida de mitigación temporal.
  • Monitorizar los logs de Serv-U: Establecer alertas para detectar patrones anómalos de peticiones POST, caídas del servicio o reinicios inesperados que puedan indicar intentos de explotación.
  • Implementar rate limiting: Configurar límites de tasa en las peticiones entrantes al servicio para reducir la ventana de ataque.
  • Evaluar la exposición en superficie de ataque: Si el servicio no necesita estar expuesto públicamente, considerar su aislamiento en segmentos de red internos con acceso VPN obligatorio.
  • Discontinuar el uso del producto si no es posible parchear: En caso de que la aplicación del parche no sea viable a corto plazo, CISA recomienda evaluar el cese temporal del uso del producto hasta que una mitigación efectiva pueda ser aplicada.

Referencias Oficiales

// compartir: X Telegram LinkedIn WhatsApp
// ¿qué te parece este artículo?
// comentarios (0)
// sin comentarios aún
inicia sesión o regístrate para comentar.
← volver
[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·