In sintesi
L’U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente emesso un avviso di alta rilevanza, aggiungendo una vulnerabilità di sicurezza critica, identificata come CVE-2026-28318, al suo catalogo delle vulnerabilità note attivamente sfruttate (KEV). Questa falla interessa il software SolarWinds Serv-U multi-protocol file server, un componente potenzialmente cruciale in molte infrastrutture aziendali. La decisione di CISA è stata motivata da prove concrete di un suo sfruttamento attivo, indicando che attaccanti stanno già utilizzando questa debolezza per compromettere i sistemi.
La vulnerabilità in questione è classificata con un punteggio CVSS di 7.5, indicando una severità elevata, e si configura come un bug di tipo Denial-of-Service (DoS). Ciò significa che il suo sfruttamento può causare il crash del servizio, rendendo di fatto il server SolarWinds Serv-U inaccessibile e interrompendo le operazioni di trasferimento file che esso gestisce. La natura “multi-protocollo” del software Serv-U suggerisce il suo impiego in ambienti complessi per la gestione di diverse tipologie di scambi di dati, aumentando l’ampiezza dell’impatto potenziale di un arresto forzato del servizio. L’inclusione nel catalogo KEV della CISA è un segnale esplicito che questa non è più una minaccia teorica, ma un rischio concreto e immediato per tutte le organizzazioni che utilizzano il software interessato.
Per le organizzazioni che trattano dati personali e devono conformarsi a normative stringenti come il GDPR, la sicurezza delle informazioni è un pilastro fondamentale, che include la disponibilità dei sistemi. Un attacco DoS che colpisce un file server può compromettere gravemente la disponibilità dei dati e dei servizi essenziali, ostacolando le normal operazioni aziendali e la capacità di rispondere alle richieste degli interessati. Allo stesso modo, per le entità soggette alla direttiva NIS2 (o potenzialmente in futuro), l’interruzione di un servizio critico come un file server rientra pienamente negli incidenti che possono avere un impatto significativo sulla continuità operativa e sulla resilienza dei servizi. Anche in ottica ISO 27001, la disponibilità delle informazioni è uno degli attributi chiave della sicurezza che deve essere garantito attraverso controlli adeguati. L’impatto di un crash del servizio può variare dalla semplice interruzione operativa alla perdita economica, fino a ripercussioni sulla reputazione aziendale, rendendo la gestione proattiva di queste vulnerabilità indispensabile.
Di fronte a una vulnerabilità attivamente sfruttata di tale gravità, le organizzazioni che utilizzano SolarWinds Serv-U dovrebbero adottare misure immediate. È imperativo verificare la presenza del software nelle proprie infrastrutture e procedere tempestivamente con l’applicazione di tutte le patch e gli aggiornamenti di sicurezza rilasciati dal vendor per la correzione della CVE-2026-28318. Inoltre, si consiglia vivamente di implementare un programma di gestione delle vulnerabilità robusto e di monitorare costantemente il catalogo KEV della CISA, che rappresenta una fonte autorevole e aggiornata sulle minacce più urgenti e concrete. La revisione periodica dell’inventario software e una strategia di difesa in profondità possono contribuire a mitigare i rischi derivanti da questo tipo di attacchi.