Inicio Noticias Detalles
EE.UU. exige reparar la vulnerabilidad SolarWinds Serv-U antes del 19 de junio
2026-06-15 14:59
Favoritos

es.wedoany.com Noticia: La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) confirmó que los atacantes están explotando una vulnerabilidad (CVE-2026-28318) que puede provocar la caída del servidor de transferencia de archivos SolarWinds Serv-U. La agencia ha ordenado a las agencias civiles federales de EE.UU. reparar esta vulnerabilidad antes del 19 de junio de 2026, ya sea instalando el parche o implementando medidas de mitigación.

Vulnerabilidad Serv-U CVE-2026-28318

CVE-2026-28318 es una vulnerabilidad de consumo de recursos no controlado que puede ser desencadenada por atacantes remotos no autenticados. El defecto existe en la forma en que el servicio Serv-U procesa las solicitudes HTTP POST que contienen el encabezado Content-Encoding: deflate. Al enviar solicitudes especialmente diseñadas, los atacantes pueden obligar a Serv-U a consumir recursos excesivos, provocando la caída del servicio y generando un estado de denegación de servicio. Esta vulnerabilidad fue divulgada por SolarWinds el 3 de junio, tras la publicación de Serv-U 15.5.4 Hotfix 1 que soluciona el problema. SolarWinds indicó que los clientes que ya hayan descargado e instalado Serv-U 15.5.4 también deben descargar e instalar Serv-U 15.5.4 Hotfix 1. Alternativamente, los usuarios pueden usar un firewall de aplicaciones web para restringir el acceso al servidor solo a direcciones conocidas y bloquear las solicitudes POST que contengan content-encoding, ya que el servicio no necesita esta funcionalidad.

Una vulnerabilidad de ejecución remota de código (CVE-2021-35211) que afecta al software SolarWinds Serv-U fue explotada anteriormente como vulnerabilidad de día cero por presuntos atacantes chinos para actividades de espionaje cibernético, y posteriormente fue utilizada por el grupo de ransomware Cl0p. En 2022, una vulnerabilidad de validación de entrada (CVE-2021-35247) fue explotada en ataques relacionados con Log4j. Hace dos años, CVE-2024-28995 también fue explotada por atacantes. CISA aún no ha proporcionado detalles sobre la explotación de CVE-2026-28318 en entornos reales, y hasta ahora no hay indicios de que esta vulnerabilidad esté siendo utilizada por grupos de ransomware.

SolarWinds Serv-U es una solución autogestionada que permite a las organizaciones transferir archivos de forma segura a través de la red. Es utilizada frecuentemente por organizaciones en sectores e industrias regulados, como salud, finanzas y gobierno, que requieren soberanía de datos y pistas de auditoría. Aunque los atacantes prefieren explotar vulnerabilidades que comprometan completamente las implementaciones de Serv-U, las vulnerabilidades de denegación de servicio pueden utilizarse para interrumpir las operaciones de una organización o desviar la atención de los defensores empresariales hacia otras actividades encubiertas.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com

Estados Unidos
Información y comunicaciónIngeniería de confidencialidad de información y seguridad de datos
Anterior:El gusano Miasma ataca 73 repositorios de Microsoft GitHub en EE. UU.
Posterior:El ransomware Qilin aprovecha una vulnerabilidad de día cero en Check Point VPN para atacar múltiples organizaciones
Productos relacionados
Solicitar
Pinming CCBIM
Pinming Technology Co., Ltd.
Solicitar
Solución de prevención de fugas de datos en oficina
Sangfor Technologies Inc.
Solicitar
Terminal satelital portátil de placa plana de 0,35 m de diámetro (manual)
China Starwin Science & Technology co., Ltd.
Solicitar
Productos de sistemas de multiplexación por división de longitud de onda (WDM)
Shenzhen SDG Information Co., Ltd.
Solicitar
Red de área local inalámbrica | Punto de acceso AirEngine 5776-56T
Huawei
Solicitar
Lámina de silicona termoconductora ABT-CP815
Dongguan Aobote Thermal Technology Co., Ltd.
Solicitar
Software del servidor de aplicaciones Baolande V9.5
Beijing Baolande Software Corporation
Solicitar
Xinshiqi Vehículo autónomo X3 con caja de carga
Neolix Beijing Technology Co., Ltd.
Solicitar
Subarray Tx de antena de arreglo en fase banda Ka
COXSAT TECHNOLOGY CO., LTD.
Solicitar
Conmutador rápido de fuente de alimentación redundante QPS-20A
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Solicitar
Sistema de monitoreo inteligente de cinta transportadora
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Solicitar
SIS Soluciones de Instrumentación de Seguridad
Beijing Consen Automation Technology Co., Ltd.
Recomendaciones
El Grupo Digital Zhongkan Beidou de China y Hikvision firman un acuerdo de cooperación en seguridad inteligente en la producción
2026-06-15
Weina Hexin acelera la industrialización de chips de memoria y computación tridimensionales integrados con una ronda de financiación Serie B de más de 10 000 millones de yuanes
2026-06-15
Daxiao Robotics completa una ronda de financiación Angel+ para impulsar el modelo mundial y la implementación de soluciones integradas de hardware y software
2026-06-15
Hexaware establece un centro de entrega en GIFT City, India
2026-06-15
Digital Realty amplía su capacidad en Cyberjaya, Malasia, con 32 megavatios adicionales
2026-06-15
GSMA: La industria móvil contribuyó con 1,15 billones de euros al PIB de la UE en 2025
2026-06-15
Junkies Coder de Sudáfrica lanza un negocio de IA agéntica
2026-06-15
Anthropic se disculpa por el filtro antidestilación oculto en Claude Fable 5
2026-06-15
Ethio Telecom planea expandir sus servicios de telemedicina a 200 hospitales
2026-06-15
Pakistán asigna 19,580 millones de rupias para 13 proyectos de TI y telecomunicaciones
2026-06-15
Últimos boletines
1
Lola Wireless GEN de EE. UU. lanza la red global de emergencia Lola GEN
2
Sivers de Suecia recibe pedido de circuitos integrados de conformación de haz por 8,2 millones de dólares de ALL.SPACE
3
Salón Académico sobre Desarrollo Inteligente y Verde del Carbón Coquizable en China se celebra en Pekín
4
Boli Technology de China y otras dos partes firman un acuerdo para construir un nuevo ecosistema de inteligencia minera
5
Hippocratic AI de EE. UU. lanza un programa de residencia en entrenamiento de LLM
6
Primera Conferencia Interdisciplinaria sobre Exploración y Desarrollo de Recursos Minerales se celebra en Xianyang, Shaanxi, China
7
Las reservas de alquiler de vehículos eléctricos en Canadá aumentan un 80% interanual en mayo
8
Completado el vertido del segundo tramo de losa de la presa de enrocado con losa de hormigón más alta del mundo
9
Proyecto de control de gas en capas de carbón de gran altitud en Qinghai, China, supera la revisión intermedia
10
14 de junio: Expansión energética internacional: El sistema de ingeniería energética está pasando de "avance de proyectos puntuales" a "reestructuración global coordinada bajo restricciones de sistemas de alta carga"