CISA cảnh báo lỗ hổng DoS nguy hiểm trên SolarWinds Serv-U đang bị khai thác thực tế

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa chính thức bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến phần mềm máy chủ tệp đa giao thức SolarWinds Serv-U vào danh mục Known Exploited Vulnerabilities (KEV). Quyết định này được đưa ra sau khi có bằng chứng cho thấy lỗ hổng đang bị các đối tượng tấn công khai thác trong thực tế.

Chi tiết về lỗ hổng

Lỗ hổng này được định danh là CVE-2026-28318 với điểm số CVSS là 7.5. Đây là một lỗi Denial-of-Service (DoS) phát sinh từ việc tiêu thụ tài nguyên không kiểm soát, cho phép kẻ tấn công làm sập dịch vụ Serv-U.

Theo thông tin từ SolarWinds, lỗ hổng cho phép các yêu cầu POST được chế tạo đặc biệt (sử dụng Content-Encoding: deflate) gây ra tình trạng treo dịch vụ mà không cần xác thực. Hiện tại, chưa có thông tin chi tiết về danh tính của nhóm tấn công hay quy mô các hệ thống bị ảnh hưởng.

Khuyến nghị từ nhà sản xuất và CISA

SolarWinds đã phát hành bản vá cho vấn đề này trong phiên bản Serv-U 15.5.4 HF1. Để giảm thiểu rủi ro trong thời gian chờ cập nhật, người dùng được khuyến cáo:

• Giới hạn quyền truy cập vào các địa chỉ IP tin cậy.
• Chặn các yêu cầu chứa tiêu đề “content-encoding” vì dịch vụ này không yêu cầu chức năng đó để hoạt động bình thường.

CISA đã yêu cầu các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) tại Hoa Kỳ phải hoàn tất việc xử lý lỗ hổng này trước ngày 19 tháng 6 năm 2026. Trong quá khứ, các lỗ hổng trên Serv-U từng là mục tiêu ưa thích của nhiều nhóm tội phạm mạng, bao gồm cả băng nhóm ransomware Cl0p.

Nguồn tham khảo: The Hacker News