SolarWinds Serv-Uにサービス停止の脆弱性(CVE-2026-28318)— 認証なしでファイル転送を停止
ファイル転送サーバSolarWinds Serv-Uに、リソース枯渇(DoS)の脆弱性。認証なしで、deflate圧縮ヘッダを使った細工POSTリクエストによりServ-Uサービスをクラッシュさせうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 7.5 High)。
脆弱性の基本情報
- CVE番号CVE-2026-28318
- CVSS基本値7.5 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 対象(ベンダー/製品)SolarWinds Serv-U
- CWECWE-400
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-19(米連邦民生機関・BOD 22-01)
要点
CVE-2026-28318は、SolarWinds Serv-U(企業で広く使われるファイル転送サーバ。MFT=管理されたファイル転送やFTPの機能を提供)に存在する、制御されないリソース消費(CWE-400)の脆弱性だ。
公開情報によれば、認証されていない攻撃者が、Content-Encoding: deflate(deflate圧縮)ヘッダを用いた特別に細工したPOSTリクエストを送ることで、Serv-Uサービスをクラッシュさせられる。いわゆるサービス拒否(DoS)で、サーバの処理資源を意図的に枯渇させて停止に追い込む類型だ。
影響は可用性のみ(機密性・完全性への影響なし=情報は盗まれない)。ただし、ファイル転送は基幹業務(取引先とのデータ授受、バッチ連携など)を支えることが多く、停止すれば業務が止まる。Serv-Uは過去にも攻撃対象となった実績があり、CISAが悪用確認済みとして掲載した意味は重い。
【対応の要点】SolarWinds公式情報を確認し、影響を受けるバージョンを特定して修正を適用する。CISAは連邦民生機関に2026年6月19日までの是正を義務付けた。インターネットに公開している場合は特に優先し、公開範囲の見直し(必要な相手のみに限定)やアクセス制御の強化も検討する。
なぜ重要か
取引先とのデータ授受やシステム連携にServ-Uを使う組織の可用性に関わる。認証不要で外部から業務停止を起こせるため、迅速なパッチに加え、公開範囲の最小化とアクセス制御強化が要点。基幹のファイル転送基盤を守る重要性を示す。
よくある質問(FAQ)
Serv-Uとは何ですか?
DoS(サービス拒否)だけなら軽微では?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。