CISA, bilgisayar korsanlarının yakın zamanda yamalanan yüksek şiddette bir SolarWinds Serv-U güvenlik açığını aktif olarak kullanmaya başladığı konusunda uyardı. CVE-2026-28318 numarasıyla takip edilen bu zafiyet, kontrolsüz kaynak tüketimi zayıflığından kaynaklanıyor ve uzaktaki saldırganların herhangi bir kimlik doğrulama gerektirmeden Serv-U hizmetini çökertmesine olanak tanıyor. SolarWinds, Perşembe günü Serv-U 15.5.4 Hotfix 1 sürümünü yayınlayarak bu Serv-U hizmet reddi açığını yamalarken, CISA federal kurumlara 19 Haziran’a kadar yama yapma zorunluluğu getirdi.

Content-Encoding Deflate Saldırısı Serv-U Hizmetini Engelliyor

Bir saldırgan, CVE-2026-28318 numaralı SolarWinds Serv-U güvenlik açığını kullanarak servisi çökerten özel hazırlanmış POST istekleri gönderebilir. SolarWinds’in yaptığı açıklamaya göre, bu zafiyet “Content-Encoding: deflate” kullanan isteklerle tetikleniyor. Content-Encoding deflate saldırısı sayesinde saldırganın herhangi bir ayrıcalığa sahip olması gerekmiyor. Saldırgan düşük karmaşıklık seviyesindeki bu yöntemle kullanıcı etkileşimine ihtiyaç duymadan sistemi çalışamaz hale getirebiliyor.

Shodan platformu, internete açık 12.000’den fazla Serv-U sunucusu tespit etti. Shadowserver ise bu rakamın 3.100 civarında olduğunu gösteriyor. Kaç sunucunun SolarWinds güvenlik yamasını uyguladığı ise henüz bilinmiyor. SolarWinds, yamayı hemen uygulayamayan yöneticilere iki önlem öneriyor: erişimi yalnızca bilinen adreslerle sınırlandırmak ve “content-encoding” içeren tüm POST isteklerini engellemek. Serv-U hizmeti bu işlevselliğe ihtiyaç duymadığı için bu engelleme güvenli bir şekilde yapılabiliyor.

SolarWinds güvenlik açığını yamaladıktan sadece günler sonra CISA, bu zafiyeti aktif olarak kullanılanlar kataloğuna ekledi. CISA, Bağlayıcı Operasyonel Direktif 22-01 gereğince tüm Federal Sivil Yürütme Kurumu ajanslarına 19 Haziran’a kadar sunucularını yamalama zorunluluğu getirdi. CISA acil yama emri yalnızca ABD devlet kurumlarını bağlasa da CISA özel sektör dahil tüm ağ savunucularını da güvenlik açığına karşı önlem almaya çağırdı.

👉️ İlginizi Çekebilir: Cisco SD-WAN Manager’da Aktif Olarak Kullanılan Sıfır Gün Açığı Kök Yetkisi Veriyor

CISA’nın uyarısında, “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörüdür ve federal kuruluşlar için önemli riskler oluşturmaktadır” ifadelerine yer verildi. Ajans, kurumların satıcı talimatlarına göre düzeltici önlemleri uygulamasını veya düzeltme mevcut değilse ürünü kullanmayı bırakmasını önerdi.

SolarWinds Serv-U Geçmişte De Aktif Saldırılarda Kullanılmıştı

Son yıllarda birçok siber suç ve devlet destekli bilgisayar korsanlığı grubu, Serv-U’deki güvenlik açıklarını hassas kurumsal ve müşteri verilerini çalmak için hedef aldı. Clop fidye yazılımı çetesi, 2021’deki bir kampanyada Serv-U uzaktan kod yürütme güvenlik açığından (CVE-2021-35211) yararlanarak kurumsal ağlara sızmıştı. DEV-0322 Çinli bilgisayar korsanları ise Temmuz 2021’de başlayan sıfır gün saldırılarında aynı güvenlik açığını kullanmıştı.

Haziran 2024’te GreyNoise ve Rapid7 güvenlik şirketleri, aktif olarak kullanılan bir Serv-U yol geçişi güvenlik açığını (CVE-2024-28995) tespit etmişti. Son birkaç yılda CISA, çeşitli SolarWinds ürünlerindeki 11 güvenlik açığını aktif saldırılarda kullanılanlar listesine ekledi. Bu açıklardan biri de fidye yazılımı çeteleri tarafından kullanılmıştı.