SolarWinds Serv-U CVE‑2026‑28318: CISA-Warnung, aktiv ausgenutzt – Hotfix verfügbar
CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen: Unauthentifizierte Angreifer können den Dienst per HTTP-POST zum Absturz bringen. Über 12.000 Server sind öffentlich erreichbar – Bundesbehörden müssen bis 19. Juni 2026 patchen.
Die US-Behörde CISA hat am 5. Juni 2026 die Schwachstelle CVE-2026-28318 in SolarWinds Serv-U offiziell in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen und damit bestätigt, dass die Lücke aktiv in freier Wildbahn ausgenutzt wird. Die Schwachstelle ermöglicht unauthentifizierten Angreifern, den Serv-U-Dienst durch eine speziell gestaltete HTTP-POST-Anfrage zum Absturz zu bringen – ohne Benutzerinteraktion oder vorherige Anmeldung. Laut Shodan sind etwa 12.000 Serv-U-Server öffentlich über das Internet erreichbar; Shadowserver zählt über 3.100 exponierte Instanzen. SolarWinds hat zeitgleich den Patch Serv-U 15.5.4 Hotfix 1 veröffentlicht.
Die Schwachstelle im Detail
CVE-2026-28318 ist als CWE-400 (Uncontrolled Resource Consumption) klassifiziert und betrifft alle Versionen von SolarWinds Serv-U vor Version 15.5.4 Hotfix 1 – sowohl auf Windows als auch auf Linux. Angreifer können den Angriff ausführen, indem sie eine HTTP-POST-Anfrage mit dem Header Content-Encoding: deflate an den Serv-U-Dienst senden. Die Verarbeitung dieses Headers führt zu unkontrolliertem Ressourcenverbrauch und bringt den Dienst zum Absturz.
Besonders kritisch: Es ist weder eine Authentifizierung noch eine Benutzerinteraktion notwendig. Der Angriff richtet sich gegen alle Protokolle, die Serv-U unterstützt – darunter MFT, FTP, FTPS, SFTP sowie HTTP und HTTPS. CISA stuft die Ausnutzung als aktiv und bestätigt ein, was die sofortige Handlung erfordert.
Serv-U ist kein unbekanntes Angriffsziel: Bereits 2021 wurde CVE-2021-35211 durch die Clop-Ransomware-Gruppe aktiv ausgenutzt, was Serv-U-Infrastrukturen als bekanntes High-Value-Target für Angreifer etabliert hat.
Bin ich betroffen?
Betroffen sind alle Installationen von SolarWinds Serv-U, die noch nicht auf Version 15.5.4 Hotfix 1 aktualisiert wurden. Das gilt für Deployments auf Windows und Linux gleichermaßen. Die betroffenen Produkte und Versionen im Überblick:
| Produkt | Betroffen bis | Gefixter Stand |
|---|---|---|
| SolarWinds Serv-U (alle Editionen) | 15.5.4 (ohne Hotfix 1) | 15.5.4 Hotfix 1 |
| Unterstützte Protokolle | MFT, FTP, FTPS, SFTP, HTTP, HTTPS | – |
| Plattformen | Windows, Linux | – |
Administratoren sollten die installierte Serv-U-Version umgehend prüfen. Die Versionsinformation ist in der Serv-U Management Console unter Help → About einsehbar. Wer Serv-U-Dienste öffentlich über das Internet exponiert betreibt, ist besonders dringend zum sofortigen Handeln aufgefordert – angesichts der bestätigten aktiven Ausnutzung und der hohen Zahl erreichbarer Server.
Wie behebe ich das?
Der empfohlene Weg ist das sofortige Update auf SolarWinds Serv-U 15.5.4 Hotfix 1, der am 5. Juni 2026 auf dem SolarWinds-Kundenportal bereitgestellt wurde. Bundesbehörden im FCEB-Bereich (Federal Civilian Executive Branch) sind gemäß Binding Operational Directive 22-01 verpflichtet, die Schwachstelle bis spätestens 19. Juni 2026 zu beheben.
Wer das Update nicht sofort einspielen kann, sollte als Interim-Mitigation auf Firewall- oder WAF-Ebene alle eingehenden HTTP-POST-Anfragen blockieren, die einen content-encoding-Header enthalten. Diese Maßnahme reduziert die Angriffsfläche, ersetzt jedoch nicht das Update. Wie der Netzwerkschutz durch Firewall-Regeln grundsätzlich konfiguriert wird, erläutert die s-edv.com-Anleitung zur pfSense/OPNsense-Firewall-Erstkonfiguration.
Empfohlene Sofortmaßnahmen im Überblick:
- Update auf SolarWinds Serv-U 15.5.4 Hotfix 1 über das SolarWinds-Kundenportal einspielen
- Bis zum Update: Eingehende HTTP-POST-Requests mit
content-encoding-Headern auf Firewall- oder WAF-Ebene blockieren - Serv-U-Dienst nach dem Hotfix neu starten und Funktionsfähigkeit prüfen
- Exponierte Serv-U-Instanzen, die nicht zwingend öffentlich erreichbar sein müssen, hinter einem VPN oder Reverse Proxy schützen
Was bedeutet das für Unternehmen?
Die KEV-Aufnahme durch CISA ist ein klares Signal: CVE-2026-28318 wird nicht nur theoretisch ausgenutzt, sondern aktiv gegen reale Ziele eingesetzt. Ein unauthentifizierter Denial-of-Service-Angriff auf Serv-U kann die gesamte Managed-File-Transfer-Infrastruktur eines Unternehmens lahmlegen – und das ohne jede Vorabwarnung oder Zugangsdaten.
Besonders betroffen sind Branchen, die Serv-U für regulierte Dateiübertragungen einsetzen: Finanzdienstleister und Gesundheitseinrichtungen, die etwa SFTP-Transfers für Abrechnungsdaten, Patientenakten oder Compliance-Prozesse nutzen, müssen mit erheblichen Betriebsunterbrechungen rechnen, wenn der Dienst durch Angreifer gezielt zum Absturz gebracht wird.
Die historische Verbindung zu Clop-Ransomware (CVE-2021-35211) unterstreicht, dass Serv-U-Umgebungen bei Angreifern als lohnende Ziele bekannt sind. Unternehmen sollten den Patch nicht als isoliertes Update behandeln, sondern dies zum Anlass nehmen, die Netzwerkexposition ihrer Managed-File-Transfer-Systeme generell zu überprüfen. Wer Serv-U hinter einem VPN betreibt statt direkt im Internet, reduziert die Angriffsfläche strukturell. Grundlagen dazu bietet die s-edv.com-Anleitung zu WireGuard VPN für Homeoffice und Standorte.
Für Unternehmen mit eigenem Sicherheitskonzept empfiehlt sich zusätzlich eine Überprüfung des Ransomware-Notfallplans. Wie die ersten 60 Minuten nach einem Vorfall strukturiert werden sollten, beschreibt die s-edv.com-Anleitung Ransomware-Notfallplan: Erste 60 Minuten.
