Ursprünglich war es ein einfacher FTP-Server, inzwischen eine ausgewachsene Managed-File-Transfer-Software: SolarWinds Serv-U dient dem Datenaustausch für wichtige Systeme bei Organisationen. Schwachstellen darin sind für Cyberkriminelle oftmals interessant – mit einer vergleichbaren Software wie Progress MOVEit hatte die Cybergang Cl0p sensible Daten vieler namhafter Unternehmen gestohlen und damit Lösegeld erpresst. In Serv-U wird jetzt eine Sicherheitslücke im Internet angegriffen, die das System und damit den Datenaustausch in Einrichtungen lahmlegt.
SolarWinds warnt in einer aktuellen Schwachstellenmeldung, dass Angreifer mit manipulierten POST-Anfragen den Serv-U-Dienst zum Absturz bringen können. Das gelingt aus dem Netz, ohne vorherige Anmeldung, als Kodierung muss jedoch „Deflate“ aktiv sein (CVE-2026-28318, CVSS 7.5, Risiko „hoch“). SolarWinds stellt die korrigierte Version Serv-U 15.5.4 HF1 bereit, gibt aber auch Tipps zur Absicherung mittels Web Application Firewall (WAF). Darin sollte der Zugriff auf bekannte Adressen beschränkt werden, wo das möglich ist. Anfragen, die „Content-Encoding“ enthalten, sollten darin blockiert werden, da diese Funktion von dem Dienst nicht benötigt wird. Mit einer Web-Suche hat SolarWinds einige Vorschläge für Regeln einiger WAFs erstellt – die sollten Admins jedoch zuvor gründlich prüfen, ob sie in ihrer Umgebung so einsetzbar sind.
