En bref

  • CVE-2026-28318 : crash DoS non authentifie dans SolarWinds Serv-U via requete POST avec Content-Encoding: deflate malveillant, CVSS 7.5 a 8.8 (High)
  • SolarWinds Serv-U versions anterieures a 15.5.4 HF1 affectees sur tous deploiements
  • Action urgente : mettre a jour vers Serv-U 15.5.4 HF1 — delai CISA KEV pour les agences federales americaines : 19 juin 2026

Les faits

La Cybersecurity and Infrastructure Security Agency (CISA) americaine a ajoute CVE-2026-28318 a son catalogue KEV (Known Exploited Vulnerabilities) en juin 2026, avec une date limite de remediation fixee au 19 juin 2026 pour les agences federales americaines soumises a la Binding Operational Directive 22-01. Cette vulnerabilite, decouverte dans SolarWinds Serv-U, le serveur multi-protocoles de transfert de fichiers de SolarWinds, est activement exploitee dans la nature selon les informations communiquees a la CISA. L'ajout au catalogue KEV confirme l'existence d'exploitations reelles et impose une remediation sous contrainte temporelle stricte aux administrations federales, tout en signalant le niveau de risque aux entreprises privees.

Techniquement, CVE-2026-28318 est classee CWE-400 (Uncontrolled Resource Consumption), egalement appelee vulnerabilite de deni de service par epuisement de ressources. La faille reside dans la maniere dont Serv-U traite les requetes HTTP POST contenant l'en-tete Content-Encoding: deflate. Lorsque ce type de requete est recu, le serveur alloue des ressources pour decompresser le corps de la requete sans verification prealable de la legitimite de la demande ni des limites de consommation de memoire ou de CPU. Un attaquant peut envoyer une requete POST malveillante avec un corps deflate specialement concu pour provoquer une consommation excessive de ressources systeme, entrainant le crash du service Serv-U sans qu'aucune authentification ne soit requise.

Le score CVSS 3.1 de CVE-2026-28318 varie entre 7.5 et 8.8 (High) selon les sources d'analyse, avec le vecteur principal AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Les composantes cles sont l'absence d'authentification requise (PR:N), la faible complexite d'attaque (AC:L) et l'impact eleve sur la disponibilite (A:H). L'absence d'impact sur la confidentialite (C:N) et l'integrite (I:N) indique que la vulnerabilite ne permet pas d'exfiltration de donnees ou d'execution de code en l'etat — il s'agit exclusivement d'une vulnerabilite de deni de service. Cette limitation n'en reduit pas pour autant l'impact operationnel pour les organisations dependantes de Serv-U comme infrastructure de transfert de fichiers critique.

L'impact operationnel d'un crash repete de Serv-U est significatif dans les organisations qui l'utilisent comme plateforme centrale de transfert de fichiers securise. SolarWinds Serv-U est deploye comme serveur SFTP, FTPS, FTP et HTTPS dans des secteurs critiques : finance, sante, gouvernement, industrie manufacturiere. Les transferts de fichiers geres par Serv-U incluent souvent des echanges de donnees sensibles avec des partenaires commerciaux, des systemes de paie, des transferts de resultats medicaux ou des echanges de donnees reglementaires. Un crash repete du service interrompt ces workflows critiques et peut entrainer des impacts operationnels significatifs, des penalites contractuelles ou des manquements reglementaires dans les secteurs soumis a des SLA stricts.

SolarWinds est un editeur familier des chercheurs en securite depuis la campagne Sunburst de 2020, qui avait compromis leur chaine de compilation pour infecter des milliers d'organisations via leur logiciel Orion. Cette notoriete a conduit a une surveillance accrue des produits SolarWinds, et CVE-2026-28318 s'inscrit dans une serie de vulnerabilites decouvertes dans la gamme Serv-U ces dernieres annees. En 2021, CVE-2021-35211 (RCE dans Serv-U) avait ete exploite par un acteur d'Etat chinois identifie par Microsoft sous le nom DEV-0322. En 2023, les CVE-2023-35708 et CVE-2023-35169 avaient de nouveau cible Serv-U. Cette recurrence demontre que des acteurs motives s'interessent specifiquement a cet outil de transfert de fichiers largement deploye dans des environnements sensibles.

La correction pour CVE-2026-28318 est disponible dans SolarWinds Serv-U version 15.5.4 HF1 (Hotfix 1). SolarWinds a publie un advisory de securite avec les instructions de mise a jour. Le hotfix peut etre applique sans reinstallation complete du serveur Serv-U, reduisant la fenetre de maintenance necessaire. Les organisations qui ne peuvent pas appliquer immediatement le hotfix peuvent envisager des mesures compensatoires : filtrage WAF des requetes POST avec l'en-tete Content-Encoding: deflate malformee, limitation du debit (rate limiting) des requetes POST entrantes vers Serv-U, ou mise en place d'un reverse proxy filtrant ce type d'en-tetes specifiques.

L'exploitation active de CVE-2026-28318 peut s'inscrire dans differents scenarios d'attaque malveillants. Des acteurs malveillants peuvent utiliser des attaques DoS repetees pour rendre indisponible un serveur Serv-U critique dans le cadre d'une campagne de ransomware ou d'extorsion, pour perturber des transferts de donnees sensibles avant une operation d'exfiltration sur un autre vecteur, ou comme technique de diversion pendant une intrusion simultanee sur d'autres systemes. Les groupes specialises dans les attaques contre les systemes de transfert de fichiers, notamment le groupe Clop qui a cible GoAnywhere MFT et MOVEit Transfer dans des campagnes massives en 2023, representent une menace credible pour les instances Serv-U exposees sur internet.

Le contexte d'ajout au catalogue CISA KEV impose des delais de remediation stricts aux organisations soumises aux directives federales americaines. Pour les organisations du secteur prive, l'ajout au KEV constitue un signal fort recommandant une remediation prioritaire, generalement dans les 30 jours pour les vulnerabilites HIGH et plus rapidement pour les systemes exposes directement sur internet. Le delai du 19 juin 2026 fixe par la CISA laisse moins de deux semaines aux agences federales, illustrant l'urgence de la situation selon l'evaluation des renseignements disponibles sur l'exploitation en cours.

Impact et exposition

Les organisations exposant leur serveur SolarWinds Serv-U directement sur internet sans protection WAF ou reverse proxy sont particulierement vulnerables a CVE-2026-28318. Une simple requete POST malveillante suffit a crasher le service Serv-U, sans necessiter aucun compte ou credential. Les plateformes de reconnaissance passive comme Shodan et Censys permettent d'identifier facilement les instances Serv-U exposees, ce qui signifie que l'exploitation peut etre industrialisee et menee a grande echelle contre des cibles selectionnees de maniere opportuniste.

Au-dela de la disponibilite immediate, une interruption prolongee ou repetee de Serv-U peut avoir des impacts reglementaires dans les secteurs soumis a des obligations de continuite de service. La reglementation DORA (Digital Operational Resilience Act) dans le secteur financier europeen et les obligations de disponibilite des donnees patients dans le secteur de la sante imposent des exigences de resilience que CVE-2026-28318 menace directement. Les organisations utilisant Serv-U pour des transferts EDI ou des echanges de donnees reglementaires doivent considerer cette vulnerabilite comme un risque operationnel et de conformite direct.

L'historique d'exploitation de la gamme Serv-U par des acteurs d'Etat et des groupes ransomware suggere que CVE-2026-28318 sera integre dans des arsenaux offensifs a court terme. Meme si la vulnerabilite actuelle est limitee au deni de service, une chaine d'exploitation combinant le crash DoS de Serv-U avec d'autres vecteurs d'attaque, par exemple pour contourner un controle de securite dependant des transferts de fichiers, ne peut etre exclue dans des scenarios d'attaques avancees et ciblees.

Recommandations immediates

  • Mettre a jour SolarWinds Serv-U vers la version 15.5.4 HF1 disponible dans le portail client SolarWinds (Security Advisory 2026)
  • Configurer un WAF ou reverse proxy pour inspecter et bloquer les requetes POST avec l'en-tete Content-Encoding: deflate malformees en attendant l'application du patch
  • Restreindre l'acces a l'interface Serv-U aux seules adresses IP clientes legitimes via regles de pare-feu et ne pas exposer Serv-U directement sur internet sans protection
  • Activer la supervision de disponibilite du service Serv-U avec alertes immediates en cas de crash ou de redemarrage inattendu du processus
  • Examiner les journaux Serv-U pour des requetes POST avec Content-Encoding anormal dans les 30 derniers jours afin de detecter des tentatives d'exploitation anterieure
  • Pour les organisations federales americaines : remediation obligatoire avant le 19 juin 2026 selon la CISA Binding Operational Directive 22-01

Urgence KEV CISA

CVE-2026-28318 est activement exploite selon la CISA et ajoute au catalogue KEV avec un delai de remediation fixe au 19 juin 2026. Toute instance SolarWinds Serv-U anterieure a la version 15.5.4 HF1 exposee sur internet est vulnerable a des interruptions de service non authentifiees repetees. Appliquez le hotfix 15.5.4 HF1 immediatement ou protegez votre serveur Serv-U derriere un reverse proxy filtrant les requetes Content-Encoding: deflate.

Comment savoir si je suis vulnerable ?

Dans l'interface d'administration de SolarWinds Serv-U, naviguez vers Help puis About pour afficher la version installee. Si la version est anterieure a 15.5.4 HF1, vous etes vulnerable. Sous Windows, vous pouvez verifier avec PowerShell : Get-WmiObject Win32_Product | Where-Object {$_.Name -like "*Serv-U*"} | Select-Object Version. Verifiez si votre instance est exposee sur internet en scannant vos IP publiques sur les ports 21, 22 et 443, et confirmez que votre WAF filtre correctement les requetes POST avec Content-Encoding deflate malformees.

Votre infrastructure est-elle exposee ?

Ayi NEDJIMI realise des audits cibles pour identifier et corriger vos vulnerabilites.

Demander un audit