美国网络安全和基础设施安全局(CISA)在2026年6月5日做出了一项让不少安全团队心头一紧的决定------将SolarWinds Serv-U文件传输软件中的一个严重漏洞正式纳入其已知利用漏洞目录(KEV Catalog)。这意味着什么?简单来说,这个编号为CVE-2026-28318的安全缺陷已经不是停留在理论层面的风险,而是正在被真实的攻击者在野外积极利用。
对于依赖Serv-U进行日常文件交换的企业而言,这封来自CISA的"加急电报"不容忽视。尤其是那些在公网直接暴露Serv-U服务实例的组织,眼下正面临着一个相当棘手的局面:攻击者无需任何账号密码,只需要发送一个精心构造的HTTP请求,就能让整个文件传输服务直接崩溃。
一条HTTP请求就能让服务宕机,这漏洞到底怎么回事?
从NIST NVD披露的技术细节来看,CVE-2026-28318属于不受控制的资源消耗漏洞(CWE-400) 。这类漏洞的本质在于,应用程序在处理外部输入时没有对资源分配设置合理的上限,导致恶意请求能够无限度地吞噬系统资源,最终引发服务不可用。
具体到Serv-U的场景,攻击者利用的是一个看似普通的HTTP协议特性------Content-Encoding: deflate。当Serv-U接收到带有这个标头的POST请求时,其内部处理逻辑存在缺陷,无法正确管控解压缩过程中的资源消耗。结果就是,攻击者可以通过网络远程发送恶意请求,迫使Serv-U服务占用过量内存或CPU资源,最终触发崩溃。
更值得警惕的是,整个攻击过程完全不需要身份验证 。攻击者既不需要合法账号,也不需要突破任何权限边界。只要目标服务器的Serv-U端口暴露在公网,任何人都能发起这种拒绝服务攻击。这种"零门槛"的攻击特性,使得该漏洞成为攻击者眼中极具吸引力的初始入侵跳板------毕竟,让关键业务系统瘫痪本身就可以成为勒索谈判的筹码。
CISA给出的时间窗口只有两周,联邦机构必须行动
CISA将CVE-2026-28318加入KEV目录的同时,依据具有约束力的操作指令BOD 22-01 ,为所有联邦民事行政部门(FCEB)机构设定了明确的修复截止日期:2026年6月19日 。也就是说,从漏洞被列入清单到必须完成修复,留给联邦机构的时间仅有不到两周。
BOD 22-01这份指令的约束力不容小觑。它要求联邦机构必须在规定期限内对KEV目录中的漏洞进行修复,目的是确保政府网络不会因为已知且已被利用的安全缺陷而暴露在持续威胁之下。虽然这项指令的强制对象仅限于联邦机构,但CISA在公告中特别强调了另一层含义------所有组织,无论公立还是私营,都应当把这个漏洞当作最高优先级来处理。
目前尚无公开证据表明该漏洞已被直接用于勒索软件攻击链,但CISA的措辞已经相当明确:既然野外利用已经被证实,拖延修复就是在给攻击者留门。对于那些将Serv-U部署在边界网络、甚至直接面向互联网的企业来说,这种风险是实实在在的。
受影响版本与修复方案:补丁已经发布,但很多人还没打
SolarWinds方面反应还算迅速,已经针对该漏洞发布了Serv-U 15.5.4 Hotfix 1热修复补丁。凡是运行15.5.4之前版本的Serv-U实例,都被确认存在这一安全隐患。换句话说,如果你的Serv-U版本低于15.5.4,或者虽然升级到了15.5.4但没有应用Hotfix 1,那么系统仍然处于易受攻击状态。
从SolarWinds Trust Center发布的安全公告来看,这次补丁主要修复了HTTP请求处理模块中对deflate编码的资源管控逻辑。对于无法立即安排停机维护的环境,SolarWinds也提供了一些临时缓解措施,但核心建议始终只有一个:尽快升级到已修复版本。
企业安全团队现在应该做什么?
面对这种已被CISA"盖章认证"的在野利用漏洞,防御工作不能停留在"等下次维护窗口再说"的层面。安全团队可以从以下几个方向入手,尽快收紧防线:
立即核查资产清单 。很多企业的IT环境中运行着Serv-U实例,但未必都在资产管理的雷达范围内。特别是那些由业务部门自行部署、或者通过第三方集成引入的Serv-U服务,更容易成为盲区。现在正是做一次全面排查的好时机。
网络层收缩暴露面 。如果Serv-U确实需要对外提供服务,尽量将其置于防火墙或VPN之后,限制仅允许可信IP段访问。对于当前业务非必需的Serv-U实例,可以考虑暂时下线,直到完成补丁更新。
日志监控聚焦异常请求 。安全运营团队应当调整检测规则,重点关注那些包含Content-Encoding: deflate 标头的POST请求。如果发现大量此类请求命中Serv-U服务,或者伴随有服务异常重启、进程崩溃的日志记录,需要高度警惕并及时响应。
云环境同样不能掉以轻心。对于部署在云端或混合架构中的Serv-U实例,管理员需要参照BOD 22-01的相关云托管指南,确保补丁策略覆盖到所有部署形态。云上的Serv-U往往因为"看不见摸不着"而被忽视,但攻击者并不区分目标运行在物理机还是虚拟机上。