CVE-2026-28318 : SolarWinds Serv-U dans le KEV CISA, délai expiré

Les faits

CVE-2026-28318 est une vulnérabilité de consommation de ressources non contrôlée (CWE-400 : Uncontrolled Resource Consumption) affectant SolarWinds Serv-U, la solution de transfert de fichiers managé (MFT) et FTP de SolarWinds largement déployée dans les entreprises et administrations pour les échanges sécurisés de fichiers. La CISA a ajouté CVE-2026-28318 à son catalogue Known Exploited Vulnerabilities (KEV) le 5 juin 2026, avec un délai de remédiation fixé au 19 juin 2026 — soit aujourd'hui — pour l'ensemble des agences fédérales américaines relevant de la directive BOD 22-01. L'addition au KEV constitue une confirmation officielle de l'exploitation active dans la nature, quelle que soit la valeur CVSS de la faille.

Le mécanisme d'exploitation de CVE-2026-28318 est techniquement simple mais efficace. SolarWinds Serv-U implémente la décompression des données HTTP pour prendre en charge les requêtes compressées via l'en-tête Content-Encoding: deflate. La vulnérabilité réside dans l'absence de contrôle sur la quantité de mémoire allouée lors du processus de décompression. Un attaquant peut envoyer une requête POST malformée exploitant la technique dite de « bombe de décompression » (decompression bomb ou zip bomb) : un payload HTTP très petit à l'état compressé mais qui se décompresse en une quantité de données disproportionnée, pouvant atteindre plusieurs gigaoctets. Le service Serv-U, en tentant d'allouer la mémoire nécessaire pour traiter ces données décompressées, consomme l'intégralité des ressources mémoire disponibles et s'effondre, provoquant une interruption complète du service de transfert de fichiers.

L'absence totale d'authentification requise pour déclencher cette vulnérabilité est l'un des facteurs aggravants clés de CVE-2026-28318. N'importe quel attaquant disposant d'une connexion réseau vers le port HTTP(S) exposé par Serv-U peut provoquer un déni de service. Sur les déploiements exposant l'interface web ou le portail FTP/SFTP de Serv-U directement sur Internet — configuration fréquente pour les organisations utilisant Serv-U comme point d'échange de fichiers externe — la surface d'attaque est maximale. Cyber Security News rapporte que des attaques par déni de service exploitant CVE-2026-28318 ont été observées dans des campagnes ciblant des infrastructures de transfert de fichiers depuis début juin 2026.

SolarWinds Serv-U n'en est pas à sa première vulnérabilité critique de haute sévérité. En 2021, CVE-2021-35211 avait déjà été exploitée en zero-day par des acteurs soutenus par un État nation (APT41 selon Microsoft), permettant une exécution de code arbitraire à distance dans des installations Serv-U FTP. En 2023, CVE-2023-35182 (CVSS 9.8, RCE non authentifiée) avait également été ajoutée au KEV CISA. L'historique de sécurité de Serv-U en fait une cible privilégiée pour les acteurs malveillants qui connaissent bien les patterns de vulnérabilités de ce produit et les profils d'organisations qui le déploient. Ce contexte historique renforce l'urgence d'une remédiation rapide même pour une vulnérabilité de type DoS comme CVE-2026-28318.

SolarWinds a publié un hotfix dédié pour CVE-2026-28318 dans la version Serv-U 15.5.4 Hotfix 1. Ce hotfix implémente une limite stricte sur la quantité de données pouvant être décompressées par requête HTTP, indépendamment de la taille annoncée dans l'en-tête Content-Length, empêchant ainsi l'attaque par bombe de décompression. La correction est ciblée et n'impacte pas les fonctionnalités normales de transfert de fichiers pour les utilisateurs légitimes envoyant des requêtes compressées de taille raisonnable.

L'impact opérationnel d'un déni de service sur une infrastructure Serv-U peut être significatif dans les organisations qui en dépendent pour leurs échanges de fichiers critiques. Serv-U est souvent utilisé comme solution de MFT (Managed File Transfer) dans des contextes B2B sensibles : échanges de données EDI avec des partenaires commerciaux, transferts de fichiers financiers avec des banques et institutions, envoi de livrables techniques dans le secteur de l'ingénierie et de la défense, transmission de données médicales dans le secteur de la santé. Une interruption prolongée de Serv-U dans ces contextes peut bloquer des processus métier critiques, générer des violations de SLA contractuels et créer des risques de conformité (RGPD, PCI-DSS, NIS2) si des canaux de substitution non sécurisés sont utilisés en urgence.

Sur le plan de la menace opérationnelle, un déni de service sur un serveur de transfert de fichiers peut également servir de vecteur de diversion dans une attaque en plusieurs phases : en rendant Serv-U indisponible, un attaquant peut forcer les équipes IT à se concentrer sur la remontée du service, détournant leur attention d'une attaque simultanée sur d'autres composants de l'infrastructure. Cette tactique de diversion par DoS est documentée dans des TTPs (Tactics, Techniques, and Procedures) d'acteurs APT, bien qu'aucune attribution spécifique n'ait été confirmée pour les exploitations de CVE-2026-28318 observées à ce jour.

Dans un contexte plus large, CVE-2026-28318 s'inscrit dans une tendance documentée d'exploitation de solutions de transfert de fichiers managé. En 2023, MOVEit Transfer (CVE-2023-34362) avait été exploitée à grande échelle par le groupe Cl0p dans une campagne de vol de données touchant des centaines d'organisations mondiales. En 2024, GoAnywhere MFT (CVE-2024-0204) avait connu un sort similaire. Les solutions MFT constituent des cibles de choix car elles contiennent souvent des données sensibles d'entreprise et sont fréquemment exposées sur Internet pour permettre les échanges avec des partenaires externes. La vigilance sur ces produits est donc structurellement plus importante que la valeur CVSS d'une vulnérabilité individuelle pourrait le suggérer.

Impact et exposition

Toute organisation utilisant SolarWinds Serv-U dans une version antérieure à 15.5.4 Hotfix 1 est exposée à CVE-2026-28318. La condition d'exploitation est minimale : accès réseau au port HTTP/HTTPS de Serv-U, sans aucune authentification. Les déploiements exposant Serv-U directement sur Internet (ports 80, 443, 22, 21 exposés publiquement) sont particulièrement vulnérables à des attaques automatisées.

L'impact direct est un déni de service sur le service Serv-U, interrompant tous les transferts de fichiers en cours et empêchant toute nouvelle connexion jusqu'au redémarrage du service. Selon la criticité des processus métier dépendant de Serv-U, cela peut aller d'une simple nuisance à une interruption d'activité sérieuse. Dans les environnements où Serv-U est utilisé pour des échanges B2B temps-réel (transactions financières, synchronisation EDI), chaque heure d'indisponibilité a un coût mesurable.

L'ajout au KEV CISA signifie que des attaquants réels exploitent activement cette vulnérabilité. Le délai de remédiation fédéral américain expirant le 19 juin 2026 (aujourd'hui) souligne le caractère urgent de la remédiation. Les organisations soumises aux réglementations NIS2, PCI-DSS ou RGPD doivent également intégrer cette vulnérabilité dans leur processus de gestion des risques, en particulier si Serv-U est utilisé pour des transferts de données personnelles ou financières.

Les organisations ayant antérieurement subi des incidents impliquant SolarWinds (notamment dans la supply chain compromise de 2020 affectant SolarWinds Orion) devraient appliquer un niveau de prudence supplémentaire. Tout incident sur un produit SolarWinds doit être examiné attentivement au regard des compromissions historiques éventuelles de l'environnement.

Recommandations immédiates

• Appliquer Serv-U 15.5.4 Hotfix 1 — SolarWinds Security Advisory SVD-2026-0601 (sans lien externe) — disponible sur le portail téléchargements SolarWinds Customer Portal
• Si le patch ne peut être appliqué immédiatement, restreindre l'accès au port HTTP/HTTPS de Serv-U aux seules adresses IP légitimes (partenaires, utilisateurs internes) via règles de pare-feu ou VPN
• Implémenter une règle WAF ou de rate-limiting bloquant les requêtes POST contenant l'en-tête Content-Encoding: deflate si cet encodage n'est pas requis par les cas d'usage légitimes
• Configurer un monitoring des ressources (CPU, mémoire) du service Serv-U pour détecter des pics anormaux indicatifs d'une tentative d'exploitation
• Mettre en place des alertes sur les interruptions inattendues du service Serv-U avec procédure de redémarrage supervisé documentée
• Recenser l'ensemble des interfaces Serv-U exposées sur Internet et évaluer la pertinence de ce niveau d'exposition (basculement sur VPN pour les utilisateurs internes si possible)