\u012esivaizduokite: j\u016bs\u0173 fail\u0173 perdavimo serveris aptarnauja \u0161imtus korporacini\u0173 klient\u0173 \u2014 perduoda finansines ataskaitas, atsargines kopijas, dokumentus. Nakties tre\u010di\u0105 valand\u0105 ka\u017ekas i\u0161siun\u010dia vien\u0105 HTTP u\u017eklaus\u0105. Serv-U gri\u016bva. Visi fail\u0173 perdavimai sustoja. Ryte pradeda skamb\u0117ti telefonai.<\/p>\n\n\n\n
B\u016btent taip veikia CVE-2026-28318 \u2014 Denial of Service tipo pa\u017eeid\u017eiamumas SolarWinds Serv-U, \u012fvertintas CVSS 7.5 (High). Klasifikacija pagal CWE-400: Uncontrolled Resource Consumption. Pataisymas i\u0161leistas 2026 m. bir\u017eelio 4 d. \u2014 Serv-U 15.5.4 Hotfix 1. Jau bir\u017eelio 5 d. CISA \u012ftrauk\u0117 CVE-2026-28318 \u012f Known Exploited Vulnerabilities (KEV) katalog\u0105: pa\u017eeid\u017eiamumas aktyviai i\u0161naudojamas realiose atakose.<\/p>\n\n\n\n
Pa\u017eeid\u017eiamumas suaktyvinamas specialiai suformuota POST u\u017eklausa su antra\u0161te KAS YRA SERV-U<\/strong><\/p>\n\n\n\n Jei dirbate enterprise infrastrukt\u016broje, tikriausiai \u017einote \u0161i\u0105 u\u017eduot\u012f: kaip saugiai, patikimai, su \u017eurnalavimu ir prieigos kontrole perduoti didel\u012f fail\u0105 tarp dviej\u0173 \u012fmoni\u0173 \u2014 ir kad tai veikt\u0173 tiek per buhalterio 2006 met\u0173 FTP klient\u0105, tiek per \u0161iuolaikin\u0119 HTTPS nar\u0161ykl\u0119. B\u016btent \u0161i\u0105 ni\u0161\u0105 u\u017epildo SolarWinds Serv-U. Tai Managed File Transfer (MFT) serveris, veikiantis Windows ir Linux sistemose, palaikantis FTP, FTPS, SFTP, HTTP ir HTTPS vienu metu. Bankai per j\u012f siun\u010dia i\u0161ra\u0161us \u012f mok\u0117jimo apdorojimo centrus. Ligonin\u0117s \u2014 DICOM vaizdus tarp klinik\u0173. Gamybos \u012fmon\u0117s \u2014 EDI dokumentus tiekimo grandin\u0117s partneriams. Serv-U yra ta infrastrukt\u016bra, apie kuri\u0105 niekas negalvoja \u2014 kol ji nesugri\u016bva.<\/p>\n\n\n\n Serv-U tradici\u0161kai \u017ei\u016bri \u012f internet\u0105 \u2014 kitaip neveikt\u0173. Shodan duomenimis, \u0161iuo metu tinkle pasiekiama daugiau nei 12 000 Serv-U serveri\u0173. Shadowserver fiksuoja apie 3 100. Skirtumas paai\u0161kinamas skirtinga skenavimo metodologija, ta\u010diau esm\u0117 ta pati: t\u016bkstan\u010diai Serv-U diegim\u0173 pasiekiami i\u0161 bet kurios interneto vietos, ir daugelis j\u0173 dar negavo pataisymo.<\/p>\n\n\n\n U\u017epuolikams Serv-U \u2014 pageidautinas taikinys su istorija. 2021 m. Kinijos valstyb\u0117s remiama grupuot\u0117 DEV-0322 pirmoji i\u0161naudojo CVE-2021-35211 \u2014 RCE Serv-U \u2014 kaip zero-day dar prie\u0161 i\u0161leid\u017eiant pataisym\u0105. V\u0117liau t\u0105 pat\u012f pa\u017eeid\u017eiamum\u0105 pa\u0117m\u0117 TA505 (Clop\/FIN11 ransomware operatoriai) \u2014 korporatyvin\u0117ms tinklams prasiskverbti ir ransomware diegti. 2024 m. aktyviai prad\u0117tas i\u0161naudoti kitas Serv-U pa\u017eeid\u017eiamumas, leid\u0119s apeiti fail\u0173 sistemos kelius. \u0160iandienos rezultatas: CISA \u012ftrauk\u0117 \u012f KEV katalog\u0105 11 SolarWinds produkt\u0173 pa\u017eeid\u017eiamum\u0173. CVE-2026-28318 taps dvyliktuoju. Saugumo tyr\u0117jai jau seniai pastebi, kad Serv-U tikrinamas kiekvien\u0105 patogi\u0105 prog\u0105 \u2014 ir, sprend\u017eiant pagal statistik\u0105, ne be rezultato.<\/p>\n\n\n\n KAIP VEIKIA PA\u017dEID\u017dIAMUMAS<\/strong><\/p>\n\n\n\n HTTP antra\u0161t\u0117 CWE-400 (Uncontrolled Resource Consumption) klasifikacija apra\u0161o b\u016btent \u0161\u012f \u0161ablon\u0105: programa skiria i\u0161teklius reaguodama \u012f gaunamus duomenis, bet neriboja, kiek tiksliai. U\u017epuolikas pateikia specialiai suformuot\u0105 suglaudint\u0105 payload \u2014 ir Serv-U pradeda be sustojimo vartoti atmint\u012f arba CPU. Jokios ribos, jokio stabdymo, kol paslauga nei\u0161eikvoja prieinam\u0173 i\u0161tekli\u0173 ir nesugriauna avarijoje. Svarbu: visa tai vyksta prie\u0161 autentifikavim\u0105. Serv-U priima ir pradeda apdoroti u\u017eklaus\u0105 dar prie\u0161 patikrinant, kas j\u0105 i\u0161siunt\u0117. Vadinasi, u\u017epuolikui prisijungimo duomenys visai nereikalingi.<\/p>\n\n\n\n Techninis atakos paprastumas \u2014 viena i\u0161 prie\u017eas\u010di\u0173, kod\u0117l pa\u017eeid\u017eiamumas i\u0161kart pateko \u012f aktyv\u0173 i\u0161naudojim\u0105. \u010cia nereikia pa\u017eeid\u017eiamum\u0173 grandin\u0117s, nereikia specializuoto \u012frankio, nereikia gilintis \u012f sistemos vidurius. Reikia HTTP kliento ir vienos antra\u0161t\u0117s eilut\u0117s. Atakuojan\u010diojo \u012f\u0117jimo slenkstis \u2014 minimalus; nukent\u0117jusiojo pasekmi\u0173 slenkstis \u2014 auk\u0161tas.<\/p>\n\n\n\n REALI ATAKOS GRANDIN\u0116<\/strong><\/p>\n\n\n\n Viskas prasideda nuo Shodan. Paie\u0161ka pagal Serv-U baner\u012f gr\u0105\u017eina t\u016bkstan\u010dius rezultat\u0173 su IP adresais, prievadais ir versijomis. U\u017epuolikas pasirenka taikin\u012f \u2014 arba ima vis\u0105 s\u0105ra\u0161\u0105 i\u0161 karto. Toliau \u2014 viena HTTP u\u017eklausa: POST \u012f bet kur\u012f Serv-U endpoint su antra\u0161te K\u0105 tuo metu mato administratorius? Jei pasisek\u0117 \u2014 monitoringo \u012fsp\u0117jimas, kad paslauga nepasiekiama. Jei ne \u2014 ryto skambu\u010diai i\u0161 vartotoj\u0173, negalin\u010di\u0173 prisijungti prie FTP. Serv-U \u017eurnaluose \u2014 nutr\u016bkimas be ai\u0161kios klaidos \u017einut\u0117s, b\u016bdingas avarinio proceso baigimo atvejui. Autentifikavimo \u017eurnaluose nieko n\u0117ra, nes iki autentifikavimo niekada nebuvo prieita. Incidento metu nustatyti prie\u017east\u012f pagal \u017eurnalus \u2014 tikrai nelengva u\u017eduotis.<\/p>\n\n\n\n Jei Serv-U sukonfig\u016bruotas kaip sistemin\u0117 paslauga su automatiniu paleidimu i\u0161 naujo, u\u017epuolikas tiesiog pakartoja u\u017eklaus\u0105. Paslauga pakyla \u2014 ir v\u0117l gri\u016bva. \u0160\u012f cikl\u0105 galima palaikyti neribot\u0105 laik\u0105. Botnet operatoriui \u0161i ataka ypa\u010d patraukli: skirtingai nei volumetric DDoS, reikalaujantis pralaidumui prisotinti gigabitais srauto ir lengvai filtruojamas tiek\u0117jo lygmeniu, \u010dia pakanka minimalaus skai\u010diaus tinkamai suformuot\u0173 u\u017eklaus\u0173. Botnet i\u0161 keli\u0173 \u0161imt\u0173 mazg\u0173, kiekvienas siun\u010diantis po vien\u0105 u\u017eklaus\u0105 per minut\u0119 \u2014 ir Serv-U nuolat nokdauno b\u016bsenoje. Jokio srauto t\u016brio, kuris sudomint\u0173 upstream tiek\u0117j\u0105. Tyliai ir efektyviai.<\/p>\n\n\n\n CHRONOLOGIJA<\/strong><\/p>\n\n\n\n 2026 m. vasario 26 d. SolarWinds rezervavo CVE identifikatori\u0173 \u2014 vadinasi, pa\u017eeid\u017eiamumas buvo aptiktas ir jiems prane\u0161tas dar vasar\u012f, daug prie\u0161 vie\u0161\u0105 atskleidim\u0105. Bir\u017eelio 3 d. bendrov\u0117 paskelb\u0117 oficial\u0173 advisory Trust Center puslapyje. Bir\u017eelio 4 d. i\u0161leido pataisym\u0105 \u2014 Serv-U 15.5.4 Hotfix 1. Tarpas tarp CVE rezervavimo ir pataisymo i\u0161leidimo sudar\u0117 daugiau nei tris m\u0117nesius: tai standartinis coordinated disclosure terminas, kai tyr\u0117jas suteikia tiek\u0117jui laiko i\u0161taisyti, prie\u0161 skelbiant vie\u0161ai.<\/p>\n\n\n\n Bir\u017eelio 5 d. \u2014 pra\u0117jus vienai dienai po pataisymo \u2014 CISA \u012ftrauk\u0117 CVE-2026-28318 \u012f Known Exploited Vulnerabilities katalog\u0105. Tai rei\u0161kia, kad pataisymui pasirod\u017eius pa\u017eeid\u017eiamumas jau buvo i\u0161naudojamas realiose atakose. Kiek laiko anks\u010diau \u2014 ne\u017einoma. Visi\u0161kai tik\u0117tina, kad atakos prasid\u0117jo dar prie\u0161 bir\u017eelio 4 d.: MFT pa\u017eeid\u017eiamum\u0173 istorijoje tai ne retenyb\u0117. Terminas JAV Federal Civilian Executive Branch agent\u016broms \u2014 2026 m. bir\u017eelio 19 d. pagal direktyv\u0105 BOD 22-01.<\/p>\n\n\n\n KOD\u0116L TAI SVARBU<\/strong><\/p>\n\n\n\n DoS pa\u017eeid\u017eiamum\u0173 \u012fprasta nelaikyti tokiais pavojingais kaip RCE ar LPE: \u201eserveris nukrito, perkrov\u0117me, dirbame toliau”. Tai klaidinga logika MFT serverio kontekste. Serv-U \u2014 ne svetain\u0117 su gra\u017eiu vaizdeliu. Tai transportas, kuriuo juda verslo procesai. Bankas negali nusi\u0173sti dienos pabaigos failo \u012f mok\u0117jimo procesori\u0173. Ligonin\u0117 negauna vaizdini\u0173 i\u0161 kito padalinio. Gamykla nei\u0161\u0161i\u016bna pristatymo dokument\u0173 klientui. SLA pa\u017eeistas. Bauda. Valand\u0173 rankinis atk\u016brimas. Reputacin\u0117 \u017eala. Ir visa tai \u2014 nuo vienos HTTP u\u017eklausos, kuri u\u017epuolikui nekainavo nieko.<\/p>\n\n\n\n Yra ir nerim\u0105 keliantis aspektas. Serv-U atakuojamas ne i\u0161 smalsumo \u2014 atakuojamas tikslingai, d\u0117l duomen\u0173. DEV-0322 naudojo Serv-U \u0161nipin\u0117jimui prie\u0161 JAV gynybos ir technologij\u0173 \u012fmones. TA505\/Clop \u2014 kaip pradin\u012f prieigos ta\u0161k\u0105 ransomware diegimui ir korporatyvini\u0173 fail\u0173 vagystei. DoS pats savaime gali b\u016bti \u017evalgyba: u\u017epuolikas patikrina, kurie serveriai naudoja Serv-U, kaip greitai reaguoja saugumo komanda, ar yra automatinis paleidimas i\u0161 naujo. Gav\u0119s atsakymus \u012f \u0161iuos klausimus, jis gr\u012f\u017eta \u2014 jau su kitu \u012frankiu. CISA ne\u012ftraukia \u012f KEV pa\u017eeid\u017eiamum\u0173 d\u0117l biurokratijos. Tai signalas: ka\u017ekas jau lau\u017eiasi, ir ne vienas.<\/p>\n\n\n\n Atskira rizika \u2014 automatizuotos grandin\u0117s. Jei Serv-U yra grandis naktiniame atsargini\u0173 kopij\u0173 procese ar EDI integracijoje, jo nepasiekiamumas gali b\u016bti pasteb\u0117tas ne i\u0161 karto. Atsargin\u0117 kopija tyliai nebuvo sukurta. EDI dokumentai nepasiek\u0117 partnerio. Tai paai\u0161k\u0117ja po keli\u0173 valand\u0173 arba kit\u0105 ryt\u0105 \u2014 kai pasekm\u0117s jau susikaup\u0117.<\/p>\n\n\n\n K\u0104 DARYTI<\/strong><\/p>\n\n\n\n Vienintelis visi\u0161kas pataisymas \u2014 atnaujinimas iki Serv-U 15.5.4 Hotfix 1, prieinamo per SolarWinds Customer Portal. Svarbi detal\u0117: pa\u017eeid\u017eiamos visos versijos iki 15.5.4 imtinai, jei hotfix nebuvo pritaikytas. Jei atnaujinote iki 15.5.4, bet praleidote hotfix \u2014 vis dar esate pa\u017eeid\u017eiami. Paket\u0173 inventorizacijos \u012frankis gali matyti \u201e15.5.4″ ir laikyti versij\u0105 aktualia \u2014 tai sp\u0105stai. Tikrinkite tiksl\u0173 versijos numer\u012f pa\u010dioje programoje.<\/p>\n\n\n\n Jei \u0161iuo metu atnaujinti ne\u012fmanoma \u2014 derinimas, technologinis langas, baim\u0117 sugadinti production \u2014 SolarWinds oficialiai rekomenduoja dvi laikinas kompensacines priemones. Pirma: apriboti prieig\u0105 prie Serv-U tik \u017einomais, patikimais IP adresais. Jei turite partneri\u0173 ir klient\u0173, kurie realiai jungiasi prie serverio, s\u0105ra\u0161\u0105 \u2014 u\u017eblokuokite visk\u0105 kit\u0105 ugniasien\u0117s lygmeniu. Antra: blokuoti visas POST u\u017eklausas, turin\u010dias antra\u0161t\u0119 Atskiras dalykas \u2014 versijos patikrinimas: i\u0161 komandin\u0117s eilut\u0117s to padaryti nepavyks. Serv-U neregistruojamas sisteminiame paket\u0173 tvarkytuve \u2014 nei Oficialiame advisory SolarWinds paskelb\u0117 pavyzdini\u0173 taisykli\u0173 pagrindin\u0117ms WAF ir proxy sprendimams. Nginx atveju advisory si\u016blo \u012fd\u0117tinius ModSecurity su CRS atveju taisykl\u0117 veikia 1 faz\u0117je (prie\u0161 skaitant u\u017eklausos k\u016bn\u0105) ir naudoja grandin\u0119: pirmoji taisykl\u0117 atitinka metod\u0105, Jei prie\u0161 Serv-U stovi Cloudflare WAF, taisykl\u0117 kuriama kaip Custom Rule skyriuje Security \u2192 WAF. I\u0161rai\u0161ka atitinka tiek antra\u0161t\u0119, tiek metod\u0105, veiksmas \u2014 Block:<\/p>\n\n\n\n Pastaba apie nftables: jis veikia L3\/L4 lygmeniu ir neturi prieigos prie HTTP antra\u0161\u010di\u0173 turinio. Filtruoti pagal Pritaikius kompensacines priemones arba \u012fdiegus pataisym\u0105, verta per\u017ei\u016br\u0117ti Serv-U \u017eurnalus per pastar\u0105sias kelias savaites ir ie\u0161koti POST u\u017eklaus\u0173 su antra\u0161te I\u0160VADOS<\/strong><\/p>\n\n\n\n CVE-2026-28318 \u2014 techni\u0161kai paprastas pa\u017eeid\u017eiamumas su didel\u0117mis pasekm\u0117mis korporatyviniame kontekste. Viena u\u017eklausa, jokio autentifikavimo, paslauga gri\u016bva. Pataisymas yra \u2014 Serv-U 15.5.4 Hotfix 1, i\u0161leistas bir\u017eelio 4 d. CISA patvirtino aktyv\u0173 i\u0161naudojim\u0105. JAV federalini\u0173 agent\u016br\u0173 terminas \u2014 bir\u017eelio 19 d.<\/p>\n\n\n\n Jei Serv-U yra j\u016bs\u0173 infrastrukt\u016broje \u2014 atnaujinkite nedelsiant. Jei atnaujinimas reikalauja derinimo \u2014 jau \u0161iandien blokuokite POST u\u017eklausas su \u012esivaizduokite: j\u016bs\u0173 fail\u0173 perdavimo serveris aptarnauja \u0161imtus korporacini\u0173 klient\u0173 \u2014 perduoda finansines ataskaitas, atsargines kopijas, dokumentus. Nakties tre\u010di\u0105 valand\u0105 ka\u017ekas i\u0161siun\u010dia vien\u0105 HTTP u\u017eklaus\u0105. Serv-U gri\u016bva. Visi fail\u0173 perdavimai sustoja. Ryte pradeda skamb\u0117ti telefonai. B\u016btent taip veikia CVE-2026-28318 \u2014 Denial of Service tipo pa\u017eeid\u017eiamumas SolarWinds Serv-U, \u012fvertintas CVSS 7.5 (High). Klasifikacija pagal CWE-400: Uncontrolled Resource Consumption. Pataisymas i\u0161leistas 2026 m. bir\u017eelio 4 d. \u2014 Serv-U 15.5.4 Hotfix 1. Jau bir\u017eelio 5 d. CISA \u012ftrauk\u0117 CVE-2026-28318 \u012f Known Exploited Vulnerabilities (KEV) katalog\u0105: pa\u017eeid\u017eiamumas aktyviai i\u0161naudojamas realiose atakose. Pa\u017eeid\u017eiamumas suaktyvinamas specialiai suformuota POST u\u017eklausa su antra\u0161te Content-Encoding: deflate. Jokio autentifikavimo. Jokios vartotojo s\u0105veikos. Joki\u0173 privilegij\u0173. Paslauga gri\u016bva. KAS YRA SERV-U Jei dirbate enterprise infrastrukt\u016broje, tikriausiai \u017einote \u0161i\u0105 u\u017eduot\u012f: kaip saugiai, patikimai, su \u017eurnalavimu ir prieigos kontrole perduoti didel\u012f fail\u0105 tarp dviej\u0173 \u012fmoni\u0173 \u2014 ir kad tai veikt\u0173 tiek per buhalterio 2006 met\u0173 FTP klient\u0105, tiek per \u0161iuolaikin\u0119 HTTPS nar\u0161ykl\u0119. B\u016btent \u0161i\u0105 ni\u0161\u0105 u\u017epildo SolarWinds Serv-U. Tai Managed File Transfer (MFT) serveris, veikiantis Windows ir Linux sistemose, palaikantis FTP, FTPS, SFTP, HTTP ir HTTPS vienu metu. Bankai per j\u012f siun\u010dia i\u0161ra\u0161us \u012f mok\u0117jimo apdorojimo centrus. Ligonin\u0117s \u2014 DICOM vaizdus tarp klinik\u0173. Gamybos \u012fmon\u0117s \u2014 EDI dokumentus tiekimo grandin\u0117s partneriams. Serv-U yra ta infrastrukt\u016bra, apie kuri\u0105 niekas negalvoja \u2014 kol ji nesugri\u016bva. Serv-U tradici\u0161kai \u017ei\u016bri \u012f internet\u0105 \u2014 kitaip neveikt\u0173. Shodan duomenimis, \u0161iuo metu tinkle pasiekiama daugiau nei 12 000 Serv-U serveri\u0173. Shadowserver fiksuoja apie 3 100. Skirtumas paai\u0161kinamas skirtinga skenavimo metodologija, ta\u010diau esm\u0117 ta pati: t\u016bkstan\u010diai Serv-U diegim\u0173 pasiekiami i\u0161 bet kurios interneto vietos, ir daugelis j\u0173 dar negavo pataisymo. U\u017epuolikams Serv-U \u2014 pageidautinas taikinys su istorija. 2021 m. Kinijos valstyb\u0117s remiama grupuot\u0117 DEV-0322 pirmoji i\u0161naudojo CVE-2021-35211 \u2014 RCE Serv-U \u2014 kaip zero-day dar prie\u0161 i\u0161leid\u017eiant pataisym\u0105. V\u0117liau t\u0105 pat\u012f pa\u017eeid\u017eiamum\u0105 pa\u0117m\u0117 TA505 (Clop\/FIN11 ransomware operatoriai) \u2014 korporatyvin\u0117ms tinklams prasiskverbti ir ransomware diegti. 2024 m. aktyviai prad\u0117tas i\u0161naudoti kitas Serv-U pa\u017eeid\u017eiamumas, leid\u0119s apeiti fail\u0173 sistemos kelius. \u0160iandienos rezultatas: CISA \u012ftrauk\u0117 \u012f KEV katalog\u0105 11 SolarWinds produkt\u0173 pa\u017eeid\u017eiamum\u0173. CVE-2026-28318 taps dvyliktuoju. Saugumo tyr\u0117jai jau seniai pastebi, kad Serv-U tikrinamas kiekvien\u0105 patogi\u0105 prog\u0105 \u2014 ir, sprend\u017eiant pagal statistik\u0105, ne be rezultato. KAIP VEIKIA PA\u017dEID\u017dIAMUMAS HTTP antra\u0161t\u0117 Content-Encoding \u2014 tai instrukcija serveriui: \u201eu\u017eklausos k\u016bnas suglaudintas \u0161iuo algoritmu, i\u0161glauk prie\u0161 apdorodamas”. Viena i\u0161 galim\u0173 reik\u0161mi\u0173 \u2014 deflate, duomen\u0173 glaudinimo algoritmas pagr\u012fstas LZ77 ir Huffman kodavimu. Logika ai\u0161ki: klientas suglaudino duomenis, kad suma\u017eint\u0173 sraut\u0105, serveris gavo ir i\u0161glaud\u0117. Problema ta, kad Serv-U \u0161io i\u0161glaudinimo metu nenustato joki\u0173 rib\u0173 \u2014 nei pagal skiriamos atminties kiek\u012f, nei pagal procesoriaus laik\u0105. \u012esivaizduokite siurbl\u012f be sl\u0117gio avarinio vo\u017etuvo: jis pumpuos tol, kol sprogsta. CWE-400 (Uncontrolled Resource Consumption) klasifikacija apra\u0161o b\u016btent \u0161\u012f \u0161ablon\u0105: programa skiria i\u0161teklius reaguodama \u012f gaunamus duomenis, bet neriboja, kiek tiksliai. U\u017epuolikas pateikia specialiai suformuot\u0105 suglaudint\u0105 payload \u2014 ir Serv-U pradeda be sustojimo vartoti atmint\u012f arba CPU. Jokios ribos, jokio stabdymo, kol paslauga nei\u0161eikvoja prieinam\u0173 i\u0161tekli\u0173 ir nesugriauna avarijoje. Svarbu: visa tai vyksta prie\u0161 autentifikavim\u0105. Serv-U priima ir pradeda apdoroti u\u017eklaus\u0105 dar prie\u0161 patikrinant, kas j\u0105 i\u0161siunt\u0117. Vadinasi, u\u017epuolikui prisijungimo duomenys visai nereikalingi. Techninis atakos paprastumas \u2014 viena i\u0161 prie\u017eas\u010di\u0173, kod\u0117l pa\u017eeid\u017eiamumas i\u0161kart pateko \u012f aktyv\u0173 i\u0161naudojim\u0105. \u010cia nereikia pa\u017eeid\u017eiamum\u0173 grandin\u0117s, nereikia specializuoto \u012frankio, nereikia gilintis \u012f sistemos vidurius. Reikia HTTP kliento ir vienos antra\u0161t\u0117s eilut\u0117s. Atakuojan\u010diojo \u012f\u0117jimo slenkstis \u2014 minimalus; nukent\u0117jusiojo pasekmi\u0173 slenkstis \u2014 auk\u0161tas. REALI ATAKOS GRANDIN\u0116 Viskas prasideda nuo Shodan. Paie\u0161ka pagal Serv-U baner\u012f gr\u0105\u017eina t\u016bkstan\u010dius rezultat\u0173 su IP adresais, prievadais ir versijomis. U\u017epuolikas pasirenka taikin\u012f \u2014 arba ima vis\u0105 s\u0105ra\u0161\u0105 i\u0161 karto. Toliau \u2014 viena HTTP u\u017eklausa: POST \u012f bet kur\u012f Serv-U endpoint su antra\u0161te Content-Encoding: deflate ir specialiai paruo\u0161tu k\u016bnu. Jokio prisijungimo, jokio sesijos \u017eetono. Serv-U priima u\u017eklaus\u0105, pradeda i\u0161glaudinim\u0105, pereina \u012f nevaldom\u0105 i\u0161tekli\u0173 vartojim\u0105. Po keli\u0173 sekund\u017ei\u0173 ar minu\u010di\u0173 \u2014 priklausomai nuo RAM kiekio ir procesoriaus galios \u2014 paslauga gri\u016bva. K\u0105 tuo metu mato administratorius? Jei pasisek\u0117 \u2014 monitoringo \u012fsp\u0117jimas, kad paslauga nepasiekiama. Jei ne \u2014 ryto skambu\u010diai i\u0161 vartotoj\u0173, negalin\u010di\u0173 prisijungti prie FTP. Serv-U \u017eurnaluose \u2014 nutr\u016bkimas be ai\u0161kios klaidos \u017einut\u0117s, b\u016bdingas avarinio proceso baigimo atvejui. Autentifikavimo \u017eurnaluose nieko n\u0117ra, nes iki autentifikavimo niekada nebuvo prieita. Incidento metu nustatyti prie\u017east\u012f pagal \u017eurnalus \u2014 tikrai nelengva u\u017eduotis. Jei Serv-U sukonfig\u016bruotas kaip sistemin\u0117 paslauga su automatiniu paleidimu i\u0161 naujo, u\u017epuolikas tiesiog pakartoja u\u017eklaus\u0105. Paslauga pakyla \u2014 ir v\u0117l gri\u016bva. \u0160\u012f cikl\u0105 galima palaikyti neribot\u0105 laik\u0105. Botnet operatoriui \u0161i ataka ypa\u010d patraukli: skirtingai nei volumetric DDoS, reikalaujantis pralaidumui prisotinti gigabitais srauto ir lengvai filtruojamas tiek\u0117jo lygmeniu, \u010dia pakanka minimalaus skai\u010diaus tinkamai suformuot\u0173 u\u017eklaus\u0173. Botnet i\u0161 keli\u0173 \u0161imt\u0173 mazg\u0173, kiekvienas siun\u010diantis po vien\u0105 u\u017eklaus\u0105 per minut\u0119 \u2014 ir Serv-U nuolat nokdauno b\u016bsenoje. Jokio srauto t\u016brio, kuris sudomint\u0173 upstream tiek\u0117j\u0105. Tyliai ir efektyviai. CHRONOLOGIJA 2026 m. vasario 26 d. SolarWinds rezervavo CVE identifikatori\u0173 \u2014 vadinasi, pa\u017eeid\u017eiamumas buvo aptiktas ir jiems prane\u0161tas dar vasar\u012f, daug prie\u0161 vie\u0161\u0105 atskleidim\u0105. Bir\u017eelio 3 d. bendrov\u0117 paskelb\u0117 oficial\u0173 advisory Trust Center puslapyje. Bir\u017eelio 4 d. i\u0161leido pataisym\u0105 \u2014 Serv-U 15.5.4 Hotfix 1. Tarpas tarp CVE rezervavimo ir pataisymo i\u0161leidimo sudar\u0117 daugiau nei tris m\u0117nesius: tai standartinis coordinated disclosure terminas, kai tyr\u0117jas suteikia tiek\u0117jui laiko i\u0161taisyti, prie\u0161 skelbiant vie\u0161ai. Bir\u017eelio 5 d. \u2014 pra\u0117jus vienai dienai po pataisymo \u2014 CISA \u012ftrauk\u0117 CVE-2026-28318 \u012f Known Exploited Vulnerabilities katalog\u0105. Tai rei\u0161kia, kad pataisymui pasirod\u017eius pa\u017eeid\u017eiamumas jau buvo i\u0161naudojamas realiose atakose. Kiek laiko anks\u010diau \u2014 ne\u017einoma. Visi\u0161kai tik\u0117tina, kad atakos prasid\u0117jo dar prie\u0161 bir\u017eelio 4 d.: MFT pa\u017eeid\u017eiamum\u0173 istorijoje tai ne retenyb\u0117. Terminas JAV Federal Civilian Executive Branch agent\u016broms \u2014 2026 m. bir\u017eelio 19 d. pagal direktyv\u0105 BOD 22-01. KOD\u0116L TAI SVARBU DoS pa\u017eeid\u017eiamum\u0173 \u012fprasta nelaikyti tokiais pavojingais kaip RCE ar LPE: \u201eserveris nukrito, perkrov\u0117me, dirbame toliau”. Tai klaidinga logika MFT serverio kontekste. Serv-U \u2014 ne svetain\u0117 su gra\u017eiu vaizdeliu. Tai transportas, kuriuo juda verslo procesai. Bankas negali nusi\u0173sti dienos pabaigos failo \u012f mok\u0117jimo procesori\u0173. Ligonin\u0117 negauna vaizdini\u0173 i\u0161 kito padalinio. Gamykla nei\u0161\u0161i\u016bna pristatymo dokument\u0173 klientui. SLA pa\u017eeistas. Bauda. Valand\u0173 rankinis atk\u016brimas. Reputacin\u0117 \u017eala. Ir visa tai \u2014 nuo vienos HTTP u\u017eklausos, kuri u\u017epuolikui nekainavo nieko. Yra ir nerim\u0105 keliantis aspektas. Serv-U atakuojamas ne i\u0161 smalsumo \u2014 atakuojamas tikslingai, d\u0117l duomen\u0173. DEV-0322 naudojo Serv-U \u0161nipin\u0117jimui prie\u0161 JAV gynybos ir technologij\u0173 \u012fmones. TA505\/Clop \u2014 kaip pradin\u012f prieigos […]<\/p>\n","protected":false},"author":1,"featured_media":20247,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[202,199,187,155],"tags":[349,266,267,350,351,288,352,353],"class_list":["post-20250","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cve-lt","category-linux-lt","category-nftables-lt","category-saugumas","tag-cisa","tag-cve","tag-cybersecurity","tag-dos","tag-filetransfer","tag-linux","tag-servu","tag-solarwinds"],"_links":{"self":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/comments?post=20250"}],"version-history":[{"count":3,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20250\/revisions"}],"predecessor-version":[{"id":20258,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20250\/revisions\/20258"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/media\/20247"}],"wp:attachment":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/media?parent=20250"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/categories?post=20250"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/tags?post=20250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Content-Encoding: deflate<\/code>. Jokio autentifikavimo. Jokios vartotojo s\u0105veikos. Joki\u0173 privilegij\u0173. Paslauga gri\u016bva.<\/p>\n\n\n\nContent-Encoding<\/code> \u2014 tai instrukcija serveriui: \u201eu\u017eklausos k\u016bnas suglaudintas \u0161iuo algoritmu, i\u0161glauk prie\u0161 apdorodamas”. Viena i\u0161 galim\u0173 reik\u0161mi\u0173 \u2014 deflate<\/code>, duomen\u0173 glaudinimo algoritmas pagr\u012fstas LZ77 ir Huffman kodavimu. Logika ai\u0161ki: klientas suglaudino duomenis, kad suma\u017eint\u0173 sraut\u0105, serveris gavo ir i\u0161glaud\u0117. Problema ta, kad Serv-U \u0161io i\u0161glaudinimo metu nenustato joki\u0173 rib\u0173 \u2014 nei pagal skiriamos atminties kiek\u012f, nei pagal procesoriaus laik\u0105. \u012esivaizduokite siurbl\u012f be sl\u0117gio avarinio vo\u017etuvo: jis pumpuos tol, kol sprogsta.<\/p>\n\n\n\nContent-Encoding: deflate<\/code> ir specialiai paruo\u0161tu k\u016bnu. Jokio prisijungimo, jokio sesijos \u017eetono. Serv-U priima u\u017eklaus\u0105, pradeda i\u0161glaudinim\u0105, pereina \u012f nevaldom\u0105 i\u0161tekli\u0173 vartojim\u0105. Po keli\u0173 sekund\u017ei\u0173 ar minu\u010di\u0173 \u2014 priklausomai nuo RAM kiekio ir procesoriaus galios \u2014 paslauga gri\u016bva.<\/p>\n\n\n\nContent-Encoding<\/code>. SolarWinds tiesiogiai teigia, kad Serv-U \u0161ios funkcionalumo nenaudoja \u2014 blokavimas nepaveiks teis\u0117to srauto.<\/p>\n\n\n\ndpkg -l<\/code>, nei rpm -qa<\/code> jo nematys. Versija matoma tik Serv-U \u017einiatinklio administratoriaus s\u0105sajoje: Setup \u2192 Information. Atnaujinimas diegiamas per SolarWinds nuosav\u0105 diegikl\u012f, kuris atsiun\u010diamas rankiniu b\u016bdu i\u0161 Customer Portal. B\u016btent tod\u0117l automatizuotos inventorizacijos sistemos gali rodyti pasenusi\u0105 versij\u0105 arba Serv-U visai nematyti \u2014 tikrinkite per s\u0105saj\u0105, rankiniu b\u016bdu.<\/p>\n\n\n\nif<\/code> blokus \u2014 ta\u010diau nginx \u012fd\u0117tini\u0173 if<\/code> direktyv\u0173 nepalaiko, tai \u017einomas konfig\u016bracijos variklio apribojimas. Veikianti versija naudoja kintam\u0105j\u012f: nustatome j\u012f atitikus kiekvien\u0105 s\u0105lyg\u0105, tada tikriname bendr\u0105 rezultat\u0105 viename if<\/code>:<\/p>\n\n\n\nset $block_deflate_post 0;\nif ($request_method = POST) {\n set $block_deflate_post 1;\n}\nif ($http_content_encoding ~* deflate) {\n set $block_deflate_post \"${block_deflate_post}1\";\n}\nif ($block_deflate_post = \"11\") {\n return 403;\n}<\/code><\/pre>\n\n\n\nchain<\/code> \u017eym\u0117 reikalauja, kad atitikt\u0173 ir kita taisykl\u0117. Svarbu: taisykl\u0119 reikia \u012ftraukti \u012f konfig\u016bracij\u0105 prie\u0161 CRS \u012fjungim\u0105, kitaip gali kilti identifikatori\u0173 konfliktas \u2014 id:100100 turi b\u016bti laisvas:<\/p>\n\n\n\nSecRule REQUEST_METHOD \"@streq POST\" \"id:100100,phase:1,deny,status:403,chain\"\n SecRule REQUEST_HEADERS:Content-Encoding \"@contains deflate\"<\/code><\/pre>\n\n\n\n(http.request.headers[\"content-encoding\"][*] contains \"deflate\" and http.request.method eq \"POST\")<\/code><\/pre>\n\n\n\nContent-Encoding<\/code> nftables lygmeniu ne\u012fmanoma \u2014 tai WAF arba nginx kaip reverse proxy prie\u0161 Serv-U u\u017eduotis. Jei nginx jau stovi prie\u0161 Serv-U \u2014 auk\u0161\u010diau pateikta taisykl\u0117 visi\u0161kai u\u017esklend\u017eia atakos vektori\u0173.<\/p>\n\n\n\nContent-Encoding: deflate<\/code>. Jei toki\u0173 yra \u2014 bandymai jau buvo, ir klausimas, ar kuris nors i\u0161 j\u0173 pavyko.<\/p>\n\n\n\nContent-Encoding: deflate<\/code>, tai nepa\u017eeis jokio teis\u0117to srauto. Tada atnaujinkite.<\/p>\n","protected":false},"excerpt":{"rendered":"