Yeni SolarWinds Serv-U Açığına Dikkat!
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırganların yeni düzenlenmiş ve yüksek öneme sahip SolarWinds Serv-U açığını aktif bir şekilde kullandığını duyurdu. Bu açık, hizmet kesintisine neden olarak sunucuları çökertme riski taşımaktadır.
Açığın Teknik Detayları
SolarWinds’in Windows ve Linux için tasarladığı dosya transfer yazılımı Serv-U, HTTP/HTTPS, FTP, FTPS ve SFTP üzerinden güvenli dosya alışverişi sağlar. Serv-U 15.5.4 Hotfix 1 sürümünü Perşembe günü yayımlayarak, CVE-2026-28318 olarak takip edilen bu hizmet kesintisi zafiyetini kapatmıştır. Açığın temel nedeni, kontrolsüz kaynak tüketimi zayıflığıdır.
SolarWinds, kötü niyetli saldırganların, Content-Encoding: deflate kullanarak, kimlik doğrulaması gerektirmeden özel olarak hazırlanmış POST isteğiyle Serv-U hizmetini çökertme riski taşıdığını bildirmiştir. Uzaktan saldırılar, kullanıcı etkileşimi gerektirmeden, düşük karmaşıklıkta gerçekleştirilebilir.
Etkilenen Sistemler
CISA’nın raporuna göre, dünyanın genelinde 12.000’den fazla Serv-U sunucusu çevrimiçi olarak izlenmektedir. Shadowserver ise 3.100’den fazla sunucunun bu altyapıyı kullandığını bildirmiştir. Ancak, ne kadarının yamanmış olduğu konusunda bilgi yoktur.
Çözüm ve Korunma
SolarWinds, güncellemeyi hemen uygulayamayan yönetici kullanıcılarına, bilinen adreslere erişimi kısıtlamalarını ve “content-encoding” içeren herhangi bir POST isteğini engellemelerini tavsiye etmektedir. Bu öneriler, açığın kullanılabilirliğini azaltacaktır.
CISA, zafiyetin varlığını fark ettikten kısa süre sonra, bunu “doğada kullanılmakta olan” zayıflıklar listesine dahil etti ve federal hükümetin tüm birimlerini, 19 Haziran tarihine kadar sunucularını güncellemeleri konusunda uyardı. Aynı zamanda özel sektöre ait ağ yöneticilerini de bu açığa karşı önlemler almaya teşvik etti.
CISA, bu tür zafiyetlerin genellikle kötü niyetli siber aktörler için bir saldırı vektörü olduğunu ve federal işletmeler için ciddi riskler taşıdığını vurguladı. Şirketler, üretici talimatlarına göre önlemleri uygulamalı ve gerekli durumlarda ürünü kullanmayı durdurmalıdır.
Aksiyon: Ne Yapmalısınız?
Tüm kullanıcılara şu adımları izlemeleri önerilmektedir:
- SolarWinds Serv-U yazılımınızı 15.5.4 Hotfix 1 versiyonuna güncelleyin.
- Güncelleme yapamıyorsanız, bilinen IP adreslerine erişimi kısıtlayın.
- Ve özellikle “content-encoding” içeren POST isteklerini engelleyin.
Yeterli önlemler alınmaya başlanmazsa, bir sonraki saldırı dalgasından etkilenme olasılığınız artacaktır. Unutmayın ki, zafiyetler siber suçlular için her zaman cazip bir hedef olmuştur.
