SolarWinds publicou uma atualização para o seu software Serv-U que corrige quatro vulnerabilidades críticas de execução remota de código (RCE) que, em servidores não adesivos, poderiam terminar dando a um atacante controle com privilégios máximos. Serv-U é a solução de transferência de arquivos que muitas organizações mantêm em suas próprias instalações tanto no Windows como no Linux, e que oferece serviços MFT, FTP, FTPS, SFTP e HTTP/S para mover informações sensíveis entre sistemas.
A correção mais relevante chega na versão 15.5.4 e remedia uma falha grave identificada como CVE-2025-40538. Segundo a nota oficial do SolarWinds, este defeito permite que usuários com privilégios elevados criem contas administrativas do sistema e execute código com permissões de root ou administrador, algo que facilita a completa tomada de controle da máquina afetada. Você pode ler os detalhes e as instruções de atualização na página de notas da versão do SolarWinds: documentação oficial do SolarWinds.
Além de CVE-2025-40538, a atualização corrige duas falhas de type confusion e uma vulnerabilidade do tipo IDOR (Insecure Direct Object Reference) que também podem derivar em execução de código com privilégios de root se exploram com sucesso. O importante de um ponto de vista operacional é que, de momento, todas essas vulnerabilidades requerem que o atacante já tenha acesso com altos privilégios no servidor alvo, o que limita – mas não elimina – o risco: é viável que um adversário encadene essas falhas com outras vulnerabilidades ou use credenciais administrativas previamente comprometidas para chegar a esse ponto.
A superfície exposta na Internet não é pequena: pesquisas públicas atingem números que variam amplamente segundo a metodologia da digitalização. Por exemplo, Shodan mostra mais de 12.000 instâncias de Serv-U acessíveis da rede pública, enquanto a contagem de Shadowserver, que aplica critérios distintos, situa esse número abaixo de 1.200. Essa discrepância não indica que uma fonte seja errada, mas reflete diferenças em como e quando se detectam e catalogam serviços expostos. Você pode verificar as métricas em Shodan e no painel de Shadowserver: Shodan — Serv-U e Shadowserver — estatísticas.
Que o software de transferência de arquivos seja um objetivo atrativo não é uma surpresa: este tipo de ferramentas concentra documentos corporativos e dados de clientes, e um servidor comprometido facilita a exfiltração massiva ou a implantação de cifradores de ransomware. Historicamente, atores delictivos e grupos patrocinados por estados têm explorado vulnerabilidades em Serv-U. Um exemplo notável foi CVE-2021-35211, que foi aproveitada por bandas de ransomware e por grupos vinculados a operações orientadas para a exfiltração e vigilância. As agências e equipamentos de resposta continuam muito atentos a estes vetores de ataque.
No mapa geral de ameaças, as vulnerabilidades em produtos do SolarWinds tiveram repercussões repetidas; por isso entidades como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA (CISA) mantêm um acompanhamento constante. Atualmente CISA lista várias vulnerabilidades do SolarWinds que foram exploradas ativamente: você pode revisar seu catálogo de vulnerabilidades conhecidas exploradas em ambientes reais aqui: CISA — Known Exploited Vulnerabilities.
Se você administra servidores Serv-U, a primeira ação deve ser atualizada quanto antes da versão que corrige estas falhas. Além de aplicar o adesivo, é conveniente reduzir a exposição dos serviços: evitar publicar servidores de transferência de arquivos diretamente para a Internet, restringir acessos por IP, forçar autenticação multifator onde possível e rotar credenciais administrativas. A segmentação de rede e a monitorização específica de padrões invulgares nos logs ajudam a detectar tentativas de uso indevido antes de um problema menor se tornar uma lacuna maior.
É importante lembrar que a higiene básica de segurança continua a ser a barreira mais eficaz: aplicar o princípio de menor privilégio, rever contas com licenças elevadas e auditar acessos e mudanças na configuração. Se houver a possibilidade de serem utilizadas credenciais roubadas, há que executar um processo de contenção e verificação forense, incluindo a verificação de integridade de binários críticos, a revisão de tarefas programadas e a detecção de portas traseiras.
Por último, manter uma política de adesivos regulares e testes de actualização controlados reduz o tempo de exposição a este tipo de erros. As organizações que dependem de Serv-U devem incluir estas correcções no seu ciclo de gestão de vulnerabilidades e, se necessário, procurar controlos compensatórios (como regras de firewall que bloqueem padrões de exploração conhecidos) até que todas as instâncias estejam atualizadas.
A combinação de um adesivo publicado pelo fabricante, o acompanhamento de fontes fiáveis e uma resposta proativa nas operações de segurança é a fórmula mais eficaz para mitigar riscos derivados de falhas tão críticos como os recentes em Serv-U. Para informações oficiais sobre a atualização e os passos recomendados, consulte a nota de SolarWinds e contraste com dados de detecção de exposição em Shodan ou Shadowserver.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...