أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA عن إضافة ثغرة أمنية عالية الخطورة في برنامج SolarWinds Serv-U متعدد البروتوكولات لإدارة الخوادم إلى كتالوج الثغرات المستغلة فعلياً (KEV)، وذلك بعد توفر أدلة على استغلالها في هجمات حقيقية.
الثغرة، التي تحمل الرمز CVE-2026-28318، حصلت على تقييم خطورة 7.5 وفق مقياس CVSS، وتُصنّف كخلل يؤدي إلى هجمات حجب الخدمة (DoS) نتيجة استهلاك غير مضبوط للموارد، ما يتسبب في انهيار الخدمة تحت ظروف معينة.
كيفية الاستغلال والإصلاحات المتاحة
وفقاً لشركة SolarWinds، فإن الخدمة تصبح عرضة لهجمات عبر طلبات POST مصممة خصيصاً باستخدام خاصية “Content-Encoding: deflate”، ما يؤدي إلى انهيار الخدمة دون الحاجة إلى مصادقة.
تمت معالجة المشكلة في الإصدار 15.5.4 HF1 من Serv-U، مع توصيات إضافية تشمل:
- تقييد الوصول إلى عناوين معروفة فقط.
- حجب أي طلب يحتوي على “content-encoding”، نظراً لأن الخدمة لا تحتاج لهذه الوظيفة أصلاً.
أوامر CISA والمهلة الزمنية
أمرت وكالة CISA جميع الوكالات الفيدرالية المدنية (FCEB) بضرورة معالجة الثغرة قبل 19 يونيو 2026، في إطار جهودها المستمرة لتأمين الأنظمة الحكومية ضد الهجمات المتزايدة.
ورغم أن تفاصيل الاستغلال في العالم الحقيقي لم تُكشف بعد، ولم تُحدد الجهات المسؤولة عن الهجمات، إلا أن التاريخ السابق لثغرات Serv-U يظهر أنها كانت هدفاً لمجموعات تهديد بارزة مثل عصابة Cl0p المرتبطة بهجمات الفدية.
خلفية عن تاريخ الثغرات في Serv-U
برنامج Serv-U كان في السنوات الماضية محوراً لعدة هجمات سيبرانية، حيث استغلت مجموعات تهديد ثغرات سابقة لتحقيق وصول غير مصرح به وتنفيذ هجمات واسعة النطاق. إدراج الثغرة الجديدة في كتالوج KEV يعكس خطورتها ويؤكد أن استغلالها ليس مجرد احتمال نظري، بل واقع قائم يتطلب استجابة عاجلة من المؤسسات.
