對於許多工程師來說,SolarWinds 這個名字可能讓你想到幾年前那場震撼全球的供應鏈攻擊,但這次的問題出在該公司的另一款產品 Serv-U,這是一個支援多種協定的檔案傳輸伺服器。美國網路安全暨基礎設施安全局 CISA 最近將一個編號為 CVE-2026-28318 的漏洞列入了已知被利用漏洞清單 KEV Catalog。這意味著該漏洞不再僅僅是理論上的風險,而是已經有駭客在真實環境中實際利用它來發動攻擊。
什麼是 KEV Catalog?
對於初入行的工程師,可以把 KEV Catalog 想像成一個由官方維護的優先處理清單。世界上每天都會發現數以千計的漏洞,但並非所有漏洞都會被駭客利用。CISA 的 KEV 清單僅收錄那些已被證實有實際攻擊案例的漏洞。一旦某個漏洞進入此清單,企業與政府機關就必須將其視為最高優先級,立即修補,因為這代表攻擊工具已經在網路上流通。
深入分析 CVE-2026-28318 的技術原理
這次的漏洞屬於拒絕服務攻擊 DoS,也就是 Denial of Service。簡單來說,DoS 攻擊的目的不是為了偷資料,而是為了讓你的服務崩潰或癱瘓,導致合法使用者無法存取。
這個漏洞的核心在於資源消耗失控。攻擊者會發送一個經過特殊設計的 HTTP POST 請求,並在標頭中加入 Content-Encoding deflate。Deflate 是一種資料壓縮演算法,伺服器在收到請求後會嘗試解壓縮內容。然而,由於 Serv-U 在處理這類請求時缺乏適當的資源限制,攻擊者可以利用特定的壓縮數據,讓伺服器在解壓縮過程中耗盡 CPU 或記憶體資源,最終導致整個 Serv-U 服務直接崩潰。
最危險的一點是,這次攻擊不需要任何身份驗證。這意味著只要你的伺服器暴露在公網上,任何人不需要帳號密碼,只要發送一個惡意的封包,就能讓你的檔案傳輸服務停擺。
實務上的防禦與緩解措施
面對這類漏洞,最根本的解決方案是更新版本。SolarWinds 已經在 15.5.4 HF1 版本中修復了此問題。
但如果你因為環境限制無法立即重啟伺服器或更新版本,可以採取以下緩解措施。首先是限制存取來源,僅允許已知且可信的 IP 位址連線,減少攻擊面。其次,由於 Serv-U 的正常運作並不依賴 Content-Encoding 功能,你可以在前端的防火牆或負載平衡器上,直接攔截所有包含 content-encoding 字眼的請求。這是一種快狠準的臨時攔截法,能有效阻斷攻擊路徑。
為什麼這對維運工程師很重要?
這起事件提醒我們,即使是成熟的商業軟體,在處理基礎網路協定(如 HTTP 壓縮)時仍可能出現低階的資源管理錯誤。對於負責維運的工程師來說,不能只依賴軟體廠商的更新通知,更要關注像 CISA KEV 這樣的威脅情資,以便在攻擊大規模爆發前,將有限的修補資源投入在真正有風險的漏洞上。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。