// HEISE ONLINE — CYBERSECURITY
SolarWinds Serv-U: Angreifer missbrauchen DoS-Lücke in FTP-Server
In SolarWinds-Serv-U-Servern können Angreifer eine Schwachstelle für Denial-of-Service-Angriffe missbrauchen. Laut CISA tun sie das bereits.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Ursprünglich war es ein einfacher FTP-Server, inzwischen eine ausgewachsene Managed-File-Transfer-Software: SolarWinds Serv-U dient dem Datenaustausch für wichtige Systeme bei Organisationen. Schwachstellen darin sind für Cyberkriminelle oftmals interessant – mit einer vergleichbaren Software wie Progress MOVEit hatte die Cybergang Cl0p sensible Daten vieler namhafter Unternehmen gestohlen und damit Lösegeld erpresst. In Serv-U wird jetzt eine Sicherheitslücke im Internet angegriffen, die das System und damit den Datenaustausch in Einrichtungen lahmlegt.
SolarWinds warnt in einer aktuellen Schwachstellenmeldung, dass Angreifer mit manipulierten POST-Anfragen den Serv-U-Dienst zum Absturz bringen können. Das gelingt aus dem Netz, ohne vorherige Anmeldung, als Kodierung muss jedoch „Deflate“ aktiv sein (CVE-2026-28318, CVSS 7.5, Risiko „hoch“). SolarWinds stellt die korrigierte Version Serv-U 15.5.4 HF1 bereit, gibt aber auch Tipps zur Absicherung mittels Web Application Firewall (WAF). Darin sollte der Zugriff auf bekannte Adressen beschränkt werden, wo das möglich ist. Anfragen, die „Content-Encoding“ enthalten, sollten darin blockiert werden, da diese Funktion von dem Dienst nicht benötigt wird. Mit einer Web-Suche hat SolarWinds einige Vorschläge für Regeln einiger WAFs erstellt – die sollten Admins jedoch zuvor gründlich prüfen, ob sie in ihrer Umgebung so einsetzbar sind.
Die US-amerikanische IT-Sicherheitsbehörde CISA warnt inzwischen vor beobachteten Angriffen auf die Schwachstelle in SolarWinds Serv-U. Wie üblich nennt sie jedoch keinerlei Details, etwa zu Art und Umfang der Attacken. Daher lassen sich auch keine Hinweise für erfolgreiche Angriffe (Indicators of Compromise, IOC) ableiten. IT-Verantwortliche sollten jedoch zügig die aktualisierte Software installieren oder die vorgeschlagene Filterung mittels WAF einrichten.
In SolarWinds Serv-U haben die Entwickler zuletzt Ende Februar Sicherheitslücken gestopft. Es handelte sich dort gleich um vier Schwachstellen, die als Risikoeinstufung die Einordnung „kritisch“ erreichten.
Keine News verpassen! Jeden Morgen der frische Nachrichtenüberblick von heise online
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.