SolarWinds Serv-U: CISA meldet aktiv ausgenutzte DoS-Lücke CVE‑2026‑28318, Patch verfügbar
Die US-Behörde CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen. Angreifer können ohne Authentifizierung den Dienst per manipuliertem HTTP-POST zum Absturz bringen. US-Bundesbehörden müssen bis 19. Juni 2026 patchen – Hotfix 15.5.4 HF1 ist verfügbar.
Die US-amerikanische Cybersicherheitsbehörde CISA hat am 5. Juni 2026 die Schwachstelle CVE-2026-28318 in SolarWinds Serv-U in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Die Lücke ermöglicht es Angreifern, den Serv-U-Dateitransferdienst ohne Authentifizierung durch manipulierte HTTP-POST-Anfragen vollständig zum Absturz zu bringen. SolarWinds hat gleichzeitig einen Hotfix veröffentlicht; US-Bundesbehörden stehen unter einer Patch-Frist bis zum 19. Juni 2026.
Die Schwachstelle im Detail
CVE-2026-28318 ist als Uncontrolled Resource Consumption (CWE-400) klassifiziert. Ein Angreifer sendet dabei eine präparierte HTTP-POST-Anfrage mit deflate-Encoding an den Serv-U-Dienst. Der Server versucht, die Anfrage zu dekomprimieren, läuft dabei in eine unkontrollierte Ressourcenerschöpfung und stürzt ab – ein klassischer Denial-of-Service-Angriff. Besonders kritisch: Der Angriff erfordert weder eine Authentifizierung noch eine Benutzerinteraktion. Jeder, der den Serv-U-Port erreichen kann, kann den Dienst lahmlegen.
Laut Shodan sind über 12.000 Serv-U-Instanzen öffentlich aus dem Internet erreichbar; Shadowserver beziffert die Zahl auf rund 3.100 exponierte Systeme. Beide Zahlen verdeutlichen die erhebliche Angriffsfläche.
| Merkmal | Detail |
|---|---|
| CVE-ID | CVE-2026-28318 |
| Schwachstellentyp | Uncontrolled Resource Consumption (CWE-400) |
| Auswirkung | Denial of Service (Dienst-Absturz) |
| Authentifizierung erforderlich | Nein |
| Benutzerinteraktion erforderlich | Nein |
| CISA-KEV-Aufnahme | 5. Juni 2026 |
| Behörden-Patch-Frist | 19. Juni 2026 |
| Betroffene Versionen | Alle Serv-U-Versionen vor 15.5.4 Hotfix 1 |
| Fix | SolarWinds Serv-U 15.5.4 Hotfix 1 |
Bin ich betroffen?
Betroffen sind alle Installationen von SolarWinds Serv-U in Versionen vor 15.5.4 Hotfix 1. Dies schließt alle älteren Major- und Minor-Versionen ein, sofern kein Hotfix eingespielt wurde. Serv-U wird häufig als Managed-File-Transfer- und SFTP/FTPS-Lösung in Unternehmen eingesetzt. Um die installierte Version zu prüfen, genügt ein Blick in die Versionsinformation der Serv-U-Verwaltungskonsole unter Help > About.
Besonders gefährdet sind Instanzen, die direkt aus dem Internet erreichbar sind – also ohne vorgelagerte Firewall oder Network-Access-Control. Shodan-Daten zufolge sind zehntausende Serv-U-Systeme weltweit ohne zusätzliche Schutzschicht exponiert.
Wie behebe ich das?
SolarWinds empfiehlt das sofortige Update auf Serv-U 15.5.4 Hotfix 1, der am 5. Juni 2026 – zeitgleich mit der CISA-KEV-Meldung – veröffentlicht wurde. Der Hotfix kann über das SolarWinds Customer Portal heruntergeladen und eingespielt werden.
Wer den Patch nicht sofort einspielen kann, sollte folgende temporäre Gegenmaßnahmen umsetzen:
- HTTP-POST-Anfragen mit dem Header
content-encodingauf der Netzwerk- oder Firewall-Ebene blockieren. - Den Zugang zum Serv-U-Dienst auf bekannte und vertrauenswürdige IP-Adressen beschränken (Allowlisting).
- Serv-U-Ports nicht unnötig aus dem Internet exponieren; falls möglich, hinter einem VPN oder Reverse-Proxy betreiben.
Wie grundlegende Serverhärtung und Firewall-Konfiguration unter Linux funktionieren, beschreibt die s-edv.com-Anleitung Linux-Server absichern mit UFW und Fail2ban. Für den Einsatz von Zwei-Faktor-Authentifizierung als zusätzliche Schutzschicht empfiehlt sich außerdem der Leitfaden Zwei-Faktor-Authentifizierung im Unternehmen einführen.
Was bedeutet das für Unternehmen?
Die Aufnahme in den CISA-KEV-Katalog ist ein klares Signal: Die Schwachstelle wird bereits aktiv ausgenutzt, nicht nur theoretisch beschrieben. US-Bundesbehörden sind gesetzlich verpflichtet, bis zum 19. Juni 2026 zu patchen. Der private Sektor ist nicht formal gebunden, steht aber unter erheblichem Handlungsdruck.
Ein erfolgreicher Angriff legt den gesamten Serv-U-Dateitransferdienst lahm. Für Unternehmen, die Serv-U produktiv für Managed File Transfer – etwa im Austausch sensibler Daten mit Partnern, Lieferanten oder Behörden – nutzen, bedeutet ein Ausfall nicht nur Produktivitätsverlust, sondern unter Umständen auch vertragliche oder regulatorische Konsequenzen.
Das Risiko ist dabei niedrigschwellig: Da weder Authentifizierung noch Benutzerinteraktion erforderlich sind, kann ein einfaches Skript ausreichen, um exponierte Systeme systematisch anzugreifen. Angesichts der öffentlich bekannten Shodan-Zahlen ist eine schnelle, koordinierte Ausnutzung durch Bedrohungsakteure realistisch.
Unternehmen sollten außerdem prüfen, ob ihr Patch-Management-Prozess solche kurzfristigen Fristen zuverlässig abdeckt. Einen strukturierten Ansatz für Notfall-Patches und Ransomware-Szenarien bietet die s-edv.com-Anleitung Ransomware-Notfallplan: Die ersten 60 Minuten.
Quellen
BleepingComputer: CISA: Hackers now exploit SolarWinds Serv-U flaw to crash servers | The Hacker News: CISA Adds Actively Exploited SolarWinds Serv-U DoS Flaw to KEV Catalog | CISA: Known Exploited Vulnerabilities Catalog | GBHackers: CISA Alerts on Actively Exploited SolarWinds Serv-U Denial-of-Service Flaw
