O SolarWinds publicou adesivos para o seu software de transferência de arquivos Serv-U que corrigem quatro erros de segurança graves que, em determinadas condições, poderiam permitir a execução remota de código. De acordo com a empresa, as correções estão disponíveis na versão 15.5.4; se você usar Serv-U, atualizar deve ser a primeira ação na sua lista. Você pode ver as notas oficiais da versão na documentação do SolarWinds aqui, e as advertências específicas para cada CVE no centro de confiança do SolarWinds aqui.
As falhas receberam uma pontuação alta (9.1) na escala CVSS, o que indica um impacto potencialmente importante. SolarWinds identificou cada uma delas com o seu correspondente CVE e publicou análises técnicas e mitigações: CVE‐2025‐40538, um problema de controle de acesso que, explorado, permitiria criar um usuário administrador do sistema e executar código com privilégios elevados; CVE‐2025‐40539 e CVE‐2025-40540, duas vulnerabilidades de "type confusion" que facilitam a execução de código nativo com licenças elevadas; e CVE‐2025‐40541, uma referência direta insegura (IDOR) que também poderia terminar em execução de código como root. Os avisos oficiais do SolarWinds para cada um podem ser consultados nas suas páginas de consultoria, por exemplo, a entrada de CVE‐2025‐40538 aqui.
É importante notar que, segundo SolarWinds, a exploração dessas vulnerabilidades exige ter privilégios administrativos no produto. Isto muda o risco prático: em ambientes em que os serviços de Serv-U são executados sob contas com menos privilégios, como normalmente ocorre em implantaçãos no Windows, o impacto pode ser menor. Mesmo assim, essa mitigação não elimina o perigo, porque um atacante que já tenha privilégios ou que consiga escalar pode aproveitar essas falhas para tomar controle total do sistema.
O contexto importa. Embora o SolarWinds não informa de exploração ativa destes quatro erros concretos, componentes de Serv-U já foram aproveitados no passado. Falá-los anteriores como CVE‐2021‐35211 e CVE‐2021‐35247 foram explorados em ambientes produtivos, e houve também incidentes ligados ao conjunto de vulnerabilidades publicadas em 2024 (por exemplo, CVE‐2024‐28995). Você pode rever os registros desses CVE no catálogo do MITRE: CVE‐2021‐35211 aqui, CVE‐2021‐35247 aqui e CVE‐2024‐28995 aqui. Várias dessas vulnerabilidades foram aproveitadas por atores maliciosos com objetivos de espionagem ou movimento lateral, o que sublinha a necessidade de reagir rápido quando aparecem adesivos de segurança.
Se você administra Serv-U, além de aplicar a versão 15.5.4, é conveniente rever as defesas ao redor do servidor e do serviço: limitar o acesso à interface de gestão, restringir a exposição pública apenas ao essencial, rever as contas com privilégios e activar a autenticação forte. Em organizações que gerem dados sensíveis, também é prudente auditar os registos de acesso e procurar sinais de atividade anómala nos dias e semanas anteriores ao adesivo, bem como utilizar controlos adicionais como a segmentação de rede ou listas de controlo de acesso para minimizar os danos se um componente estiver comprometido.
Para quem precisa de referências e verificar que está a ser seguindo as informações oficiais, além das notas da versão e dos avisos do SolarWinds, é recomendável consultar fontes de rastreamento de vulnerabilidades e catálogos de ameaças como o NIST/NVD ou os avisos de organismos nacionais de cibersegurança. O catálogo de vulnerabilidades do NIST costuma atualizar as entradas CVE com detalhes técnicos e links para adesivos, e o portal de CISA oferece recomendações operacionais gerais sobre como priorizar e corrigir erros divulgados publicamente. Você pode começar pelo catálogo de CISA em https://www.cisa.gov/known-exploited-vulnerabilities-catalog e pelo NVD em https://nvd.nist.gov.
Em suma, estas correções do SolarWinds voltam a recordar uma lição básica em segurança: as aplicações críticas que gerem transferências de arquivos e credenciais requerem atualização contínua, controle rígido de privilégios e monitoramento constante. Actualizar a Serv-U 15.5.4 reduz imediatamente o risco associado a estas quatro vulnerabilidades, mas não substitui uma estratégia abrangente de gestão do risco que combine adesivos, auditoria, controlos de acesso e resposta a incidentes. Se você gerencia sistemas com Serv-U, prioriza a atualização e, se detectar comportamentos estranhos, considera a possibilidade de realizar uma pesquisa forense ou consultar seu provedor de segurança para excluir compromissos prévios.
Se você quiser rever o impacto específico no seu ambiente ou guiar nos passos técnicos para aplicar o adesivo e verificar a integridade do sistema, diga-me qual versão de Serv-U está usando e o sistema operacional dos servidores e te preparo um guia prático.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...