CISA alerta sobre una vulnerabilidad crítica de SolarWinds Serv-U que ya está siendo explotada

Una falla que tumba servidores sin necesidad de contraseña

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) sumó el 5 de junio una nueva vulnerabilidad a su catálogo de fallas explotadas activamente: la identificada como CVE-2026-28318, que afecta al software de transferencia de archivos SolarWinds Serv-U. Con una puntuación de gravedad de 7,5 sobre 10, el problema permite a un atacante remoto colapsar el servicio sin necesidad de tener una cuenta ni credenciales válidas.

Según la clasificación técnica del fallo —catalogado como un caso de "consumo de recursos no controlado" (CWE-400)—, basta con enviar al servidor solicitudes POST especialmente diseñadas, que incluyen un encabezado "Content-Encoding: deflate", para agotar su memoria y provocar que deje de responder. No se trata de una falla que permita robar datos o tomar el control del sistema, pero sí de interrumpir un servicio que muchas organizaciones utilizan para mover archivos críticos entre redes internas y externas.

Cómo se llegó a confirmar la explotación activa

CISA no incluye una vulnerabilidad en su catálogo de fallas explotadas (conocido como KEV, por sus siglas en inglés) a menos que existan pruebas concretas de que está siendo aprovechada en ataques reales. La inclusión de CVE-2026-28318 obliga a las agencias del gobierno federal estadounidense a aplicar el parche correspondiente antes del 19 de junio, conforme a la directiva operativa vinculante BOD 22-01, que exige corregir vulnerabilidades conocidas dentro de plazos estrictos.

SolarWinds ya había resuelto el problema con el lanzamiento de Serv-U 15.5.4 Hotfix 1, por lo que la recomendación inmediata para cualquier organización que use este software es actualizar a esa versión o a una posterior cuanto antes.

Miles de servidores siguen visibles en internet

Los motores de búsqueda especializados en dispositivos conectados ofrecen una fotografía preocupante de la exposición real del problema. Según datos de Shodan, cerca de 12.000 servidores Serv-U son visibles públicamente en internet, mientras que Shadowserver —una organización sin fines de lucro dedicada a rastrear amenazas— sitúa la cifra de sistemas potencialmente vulnerables en alrededor de 3.100. La diferencia entre ambas cifras refleja distintos criterios de medición, pero ambas coinciden en algo: un número significativo de organizaciones todavía no ha aplicado la actualización, casi dos semanas después de que el problema fuera confirmado como explotado activamente.

El historial de Serv-U como blanco de ataques

Esta no es la primera vez que el software de transferencia de archivos de SolarWinds atrae la atención de actores maliciosos. La compañía ya había enfrentado un episodio similar con la vulnerabilidad CVE-2021-35211, que el grupo de ransomware Clop aprovechó en su momento para infiltrarse en redes corporativas y robar información antes de cifrarla. Ese antecedente añade una capa de preocupación adicional: los sistemas de transferencia de archivos suelen ser un punto de entrada atractivo porque, por su propia función, necesitan estar conectados tanto a redes internas como a internet.

Qué deben hacer ahora los administradores de sistemas

Más allá de instalar el parche disponible, los especialistas en seguridad recomiendan revisar si los servidores Serv-U de una organización son accesibles directamente desde internet y, de no ser estrictamente necesario, restringir ese acceso mediante listas de control o redes privadas virtuales. También conviene revisar los registros de actividad en busca de solicitudes POST con encabezados de codificación inusuales, que podrían ser un indicio de intentos de explotación recientes.

Para las agencias federales estadounidenses, el plazo del 19 de junio no es una sugerencia: la directiva BOD 22-01 convierte la corrección de esta falla en una obligación con fecha límite. Para el resto de las organizaciones que dependen de Serv-U —desde empresas medianas hasta grandes corporaciones— el mensaje de fondo es el mismo que acompaña a la mayoría de estas alertas: cuanto más tiempo pase un sistema vulnerable expuesto en internet, mayor es la probabilidad de que termine comprometido.