CISA Alerts on Actively Exploited SolarWinds Serv-U Denial-of-Service Flaw
2026/06/06 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SolarWinds の Serv-U に存在する深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。この脆弱性 CVE-2026-28318 を悪用する未認証のリモート攻撃者は、ファイル転送サービスをクラッシュさせることが可能である。すでに、実環境で悪用が確認されており、インターネットに公開された Serv-U インスタンスを運用する企業ネットワークに深刻なリスクが生じている。
SolarWinds Serv-U の脆弱性が悪用される
脆弱性 CVE-2026-28318 は、CWE-400 に分類される制御不能なリソース消費の欠陥である。SolarWinds Serv-U アプリケーションが受信データを処理する際に、割り当てるシステムリソースの使用量を適切に制限できない場合において、この脆弱性が発生する。この問題は、特定の HTTP リクエストを処理する仕組みの内部に存在している。
この脆弱性を悪用する攻撃者は、Content-Encoding: deflate HTTP ヘッダーを含む細工された POST リクエストを送信する。このペイロードを Serv-U が処理する際に、CPU/メモリ・リソースを過剰に消費する結果として、最終的にサービス拒否 (DoS) 状態が引き起こされる。
この攻撃ベクターは、認証情報や特権を一切必要とせず、完全にネットワーク経由で実行できる。それにより、企業のファイル共有サービスの停止や、二次的な侵入の隠蔽を狙うリモートの脅威アクターにとって、きわめて魅力的な選択肢となっている。
実際の悪用が確認されたことを受け、CISA は 2026年6月5日に CVE-2026-28318 を KEV カタログへ追加した。Binding Operational Directive (BOD) 22-01 に基づき、すべての連邦文民行政機関 (FCEB) に対して、2026年6月19日までの修正が義務付けられている。
現在の脅威インテリジェンスでは、このエクスプロイトと既知のランサムウェア攻撃キャンペーンとの関連性は確認されていない。しかし、CISA およびサイバーセキュリティ専門家は、すべての組織に対して、この脆弱性を最優先で対処するよう強く求めている。このような未認証で悪用が可能なネットワーク脆弱性は、企業環境への足がかりを確保する APT グループや初期アクセス・ブローカーに頻繁に悪用されている。
対応策
すでに SolarWinds は、この脅威に対応するセキュリティ・ホットフィックスを公開している。修正版リリース以前のバージョンを使用している組織は、速やかな対応を迫られている。
セキュリティチームに推奨されるのは、以下の対策の速やかな実施である。
- SolarWinds Serv-U 15.5.4 Hotfix 1 を、すべての影響を受ける環境へ直ちに適用する。
- 企業ファイアウォールまたは VPN 配下に Serv-U を配置し、外部公開を制限する。
- Content-Encoding: deflate HTTP ヘッダーを含む、異常な POST リクエストの有無をセキュリティログで監視する。
- パッチ適用が遅れる場合は、脆弱な Serv-U インスタンスを停止/無効化する。
- オンプレミス環境およびクラウド環境の双方で、BOD 22-01 の要件への準拠を確認する。
セキュリティチームは、最新の技術情報および脅威インテリジェンスを入手するために、SolarWinds Trust Center の公式アドバイザリおよび NIST NVD の情報を継続的に参照する必要がある。
訳者後書:脆弱性 CVE-2026-28318 は、システムがデータを受け取った際に、割り当てるリソースの量をコントロールできなくなってしまうことが原因で発生します。具体的には、特定のヘッダーを含んだリクエストを処理する仕組みの内部に問題があり、CPU やメモリを過剰に使い切ってしまうためにサービスが停止してしまいます。認証情報を持たない外部の相手からでも、ネットワーク経由でリソースが枯渇させられてしまう点が特徴です。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.