SolarWinds закрыла 4 критические дыры в Serv-U: CVSS 9.1

SolarWinds Serv-U получил патч, который закрывает сразу четыре критические уязвимости. Все они оценили в 9,1 из 10 по шкале CVSS. Компания просит клиентов обновиться как можно быстрее, потому что ошибки позволяют удалённо запускать код на сервере.

Если у вас Serv-U крутится в бизнес-контуре, это тот случай, когда «потом» лучше не откладывать. Managed file transfer (MFT) решения давно в списке любимых целей у атакующих, и Serv-U тут не исключение.

Какие уязвимости нашли в SolarWinds Serv-U

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

SolarWinds описала четыре проблемы, и все они ведут к RCE (remote code execution), то есть к удалённому выполнению кода на системе. Это один из самых неприятных классов багов, потому что в удачном сценарии атакующий получает контроль над сервером.

• CVE-2025-40538: Broken Access Control RCE (ошибка контроля доступа, ведущая к выполнению кода).
• CVE-2025-40540: Type confusion RCE (ошибка «путаницы типов», ведущая к выполнению кода).
• CVE-2025-40539: Type confusion RCE (ещё одна уязвимость того же класса).
• CVE-2025-40541: Insecure Direct Object Reference RCE (IDOR, ведущая к выполнению кода).

По оценке вендора, каждая из этих уязвимостей получила одинаковую критичность — 9,1/10. Это сигнал, что риск считают высоким даже без подтверждённой эксплуатации «в поле».

Какая версия Serv-U уже исправлена

SolarWinds закрыла все четыре уязвимости в Serv-U 15.5.4. Компания отдельно подчеркнула, что баги нашла её внутренняя команда безопасности, и рекомендовала клиентам обновиться на исправленную версию.

На момент публикации SolarWinds также заявляет, что не наблюдает эксплуатации этих проблем в реальных атаках. Дополнительно, уязвимости не фигурируют в каталоге CISA Known Exploited Vulnerabilities (KEV).

Почему MFT-сервисы часто ломают первыми

Инструменты управляемой передачи файлов — это «входная дверь» в процессы компании. Через них ходят документы, архивы, выгрузки, интеграции. И часто они торчат наружу, потому что так удобнее бизнесу. Поэтому MFT-сервисы регулярно становятся высокоценной целью для атакующих.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Мы уже видели, к чему приводит одна критическая дыра в подобном продукте. В конце мая 2023 года группа Cl0p использовала критический zero-day в MOVEit. К концу 2023 и в начале 2024 расследования и агрегированные эти по утечкам указывали, что пострадали более 2700 организаций по всему миру.

И это не единичный кейс. За несколько месяцев до MOVEit та же группа атаковала GoAnywhere. По заявлениям, компрометация затронула около 130 компаний. На этом фоне рекомендация «обновиться сразу» выглядит не как перестраховка, а как нормальная гигиена.

Что это значит для компаний и админов

Главный вывод простой: если у вас в инфраструктуре есть SolarWinds Serv-U, то окно риска закрывается только обновлением до 15.5.4. Даже если прямо сейчас нет признаков эксплуатации, MFT-сервисы часто попадают в прицел быстро, особенно когда информация о CVE разошлась по рынку.

Ещё один момент про бюджет и приоритеты. Патчить «файлообменник» иногда кажется задачей второго ряда. Но по последствиям компрометация MFT часто бьёт сильнее, чем падение обычного веб-сервиса. Там и данные, и учётки, и цепочки доступа.

SolarWinds закрыла четыре критические RCE-уязвимости в Serv-U и выпустила фикс в версии 15.5.4. Признаков атак на момент публикации нет, но опыт MOVEit и GoAnywhere показывает: такие сервисы долго без внимания не остаются. Для справки по теме можно открыть разбор уязвимостей в отраслевых медиа, например The Register.

Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.

SolarWinds закрыла 4 критические дыры в Serv-U: CVSS 9.1 ⚡️