Badan Keamanan Siber dan Infrastruktur AS (CISA) hari ini memperingatkan bahwa peretas kini secara aktif mengeksploitasi kelemahan SolarWinds Serv-U dengan tingkat keparahan tinggi yang baru-baru ini ditambal untuk merusak server.
Serv-U adalah perangkat lunak transfer file Windows dan Linux milik perusahaan yang menawarkan kemampuan Managed File Transfer (MFT) dan server FTP, yang memungkinkan pengguna bertukar file dengan aman melalui HTTP/HTTPS, FTP, FTPS, dan SFTP.
SolarWinds merilis Perbaikan Terbaru Serv-U 15.5.4 1 pada hari Kamis untuk menambal kerentanan penolakan layanan ini (dilacak sebagai CVE-2026-28318) dan mengatakan hal ini berasal dari kelemahan konsumsi sumber daya yang tidak terkendali.
“SolarWinds Serv-U rentan terhadap permintaan POST yang dibuat khusus yang membuat layanan Serv-U mogok tanpa autentikasi menggunakan Content-Encoding: deflate,” kata perusahaan itu.
Penyerang jarak jauh dapat mengeksploitasi kelemahan keamanan tanpa hak istimewa dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
SolarWinds juga menyarankan admin yang tidak dapat segera menerapkan patch untuk membatasi akses ke alamat yang diketahui dan memblokir permintaan POST apa pun yang berisi “pengkodean konten”, karena layanan Serv-U yang rentan tidak memerlukan fungsi ini.
Platform intelijen Internet Shodan saat ini melacak lebih dari 12.000 server Serv-U yang terekspos secara online, dan pengawas keamanan Internet Shadowserver lebih dari 3.100namun belum ada informasi berapa banyak yang sudah di patch.
.jpg)
Beberapa hari setelah SolarWinds mengatasi kerentanan tersebut, CISA menandainya sebagai dieksploitasi di alam liar Dan menambahkannya ke Katalog Kerentanan yang Diketahui dan Dieksploitasimemerintahkan semua lembaga Cabang Eksekutif Sipil Federal untuk menambal server mereka terhadap serangan yang sedang berlangsung pada tanggal 19 Juni, sebagaimana diamanatkan oleh Petunjuk Operasional yang Mengikat (BOD) 22-01.
Meskipun BOD 22-01 hanya berlaku untuk lembaga pemerintah AS, badan keamanan siber tersebut juga mendesak semua pembela jaringan, termasuk sektor swasta, untuk mengamankan jaringan mereka dari serangan CVE-2026-28318 yang sedang berlangsung sesegera mungkin.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan. “Terapkan mitigasi sesuai instruksi vendor, ikuti panduan BOD 22-01 yang berlaku untuk layanan cloud, atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Dalam beberapa tahun terakhir, berbagai kelompok kejahatan dunia maya dan peretasan yang didukung negara telah menargetkan kerentanan di Serv-U untuk mencuri data sensitif perusahaan dan pelanggan.
Misalnya, geng ransomware Clop mengeksploitasi kerentanan eksekusi kode jarak jauh Serv-U (CVE-2021-35211) untuk melanggar jaringan perusahaan dalam kampanye tahun 2021. DEV-0322 Peretas Tiongkok juga menerapkan eksploitasi CVE-2021-35211 dalam serangan zero-day mulai Juli 2021.
Baru-baru ini, pada bulan Juni 2024, perusahaan keamanan siber GreyNoise dan Rapid7 menandai kerentanan penjelajahan jalur Serv-U (CVE-2024-28995) sebagai dieksploitasi secara aktif.
Selama beberapa tahun terakhir, CISA telah menandai 11 kerentanan di berbagai produk SolarWinds seperti yang dieksploitasi secara aktif dalam serangan, salah satunya juga telah disalahgunakan oleh geng ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
