SolarWinds Serv-U: Kritische Lücke CVE-2026-28318 gefährdet 12.000 Server

Die US-Cybersicherheitsbehörde CISA hat eine kritische Lücke in SolarWinds Serv-U in ihren Katalog bekannter Sicherheitslücken aufgenommen. Grund sind Berichte über aktive Angriffe auf das System.

Kritische Schwachstelle erfordert sofortiges Handeln

Die als CVE-2026-28318 gelistete Sicherheitslücke ermöglicht nicht authentifizierten Angreifern, einen Denial-of-Service (DoS)-Angriff durchzuführen – sie können den Dienst zum Absturz bringen. Der CVSS-Score von 7,5 unterstreicht die Dringlichkeit. US-Bundesbehörden müssen ihre Systeme bis zum 19. Juni 2026 absichern.

Angesichts der rasanten Zunahme von Sicherheitslücken wird ein proaktiver Schutz für Unternehmen immer wichtiger. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt Ihnen, wie Sie Ihre IT-Sicherheit ohne hohe Investitionen stärken. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

Das Problem liegt in einem unkontrollierten Ressourcenverbrauch bei der Verarbeitung von HTTP-POST-Anfragen. Angreifer können durch speziell präparierte Anfragen mit einem bestimmten Komprimierungs-Header den Dienst zum Absturz bringen – und das ohne vorherige Authentifizierung.

Update-Pflicht für betroffene Versionen

SolarWinds hat am 3. Juni 2026 einen Patch veröffentlicht, der in der Version Serv-U 15.5.4 Hotfix 1 enthalten ist. Ältere Versionen wie 15.4.2, 15.5 und 15.5.1 haben ihren Lebenszyklus erreicht und erhalten keine Updates mehr. Unternehmen müssen daher zwingend auf die aktuelle Version migrieren.

Die Situation ist brisant: Laut Shodan-Scan-Daten sind noch über 12.000 Serv-U-Server im Internet sichtbar. Sicherheitsexperten empfehlen, nicht patchende Instanzen vom öffentlichen Netz zu trennen.

Gezielte Kampagnen gegen die Ukraine

Während die SolarWinds-Lücke im Fokus steht, nutzen Angreifer weiterhin ältere Schwachstellen für gezielte Attacken. Russlandnahe Gruppen wie SHADOW-EARTH-066 und Gamaredon setzen eine WinRAR-Lücke (CVE-2025-8088) ein. Diese Path-Traversal-Schwachstelle in Versionen vor 7.13 ermöglichte bis mindestens April 2026 stille Schreiboperationen gegen ukrainische Organisationen.

Parallel dazu griffen Angreifer eine FortiClient-EMS-Lücke (CVE-2026-35616) an. Diese Authentifizierungsumgehung erlaubt Remote-Code-Ausführung. Die Angreifer tarnten den EKZ-Credential-Stealer als legitimes Fortinet-Update und erbeuteten so Zugangsdaten aus Chromium- und Firefox-Browsern. Rund 2.000 FortiClient-EMS-Instanzen waren diesem Risiko ausgesetzt.

Immer häufiger nutzen Cyberkriminelle gezielte Manipulationstaktiken und getarnte Malware, um in Firmennetze einzudringen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich in vier Schritten proaktiv gegen solche Angriffe absichern kann. Kostenloses Anti-Phishing-Paket sichern

Botnetze und neue Taktiken

Das C0XMO-Botnetz, eine Variante des Gafgyt-Malware, zielt auf eine Pufferüberlauf-Lücke in DD-WRT-Routern aus dem Jahr 2021 ab. Es nutzt ein modulares Scan-Framework zur lateralen Bewegung in Netzwerken und beendet konkurrierende Malware-Prozesse. Eine aktuelle Kampagne traf ein japanisches Technologieunternehmen.

Eine weitere Angriffswelle nutzt geopolitische Themen wie die Beziehungen zwischen den Vereinigten Arabischen Emiraten und Indien, um den PulseRAT-Trojaner über ISO-Dateien zu verbreiten. Die Malware verwendet Google Sheets als Command-and-Control-Kanal zur Tarnung.

Alarmierende Erkenntnisse zur Bedrohungslage

Ein Bericht von Palo Alto Networks zeigt: 52 Prozent der direkten IP-Bedrohungen fehlen in Open-Source-Intelligence-Feeds. Die Verzögerung beträgt im Schnitt 20 Tage, bevor solche Bedrohungen in Reputationsdatenbanken auftauchen. Grund ist unter anderem der Einsatz von KI, mit der Angreifer IP-Adressen schnell rotieren.

de | wissenschaft | 69500269 |