Компания SolarWinds выпустила критическое обновление безопасности для своего программного обеспечения для передачи файлов Serv-U. Переход с уязвимой версии 15.5 на защищенную сборку 15.5.4 устраняет сразу четыре серьезные бреши. Данные уязвимости могли позволить злоумышленникам осуществить удаленное выполнение кода с правами «root», что гарантирует захват наивысшего уровня доступа и полного контроля над скомпрометированной системой.
Каждая из четырех обнаруженных проблем получила оценку 9.1 балла по Общей системе оценки уязвимостей (CVSS), что безоговорочно классифицирует их как критические. Однако для успешной эксплуатации этих уязвимостей существует строгое техническое условие: атакующий уже должен обладать правами администратора в целевой системе. Без этого предварительного уровня привилегий реализация атаки технически невозможна.
Степень реальной угрозы напрямую зависит от используемой операционной системы. При развертывании инфраструктуры Serv-U на серверах под управлением Windows уровень риска официально снижен до категории «Средний». Это обусловлено тем, что службы Windows по умолчанию запускаются под учетными записями с ограниченными привилегиями, что блокирует прямой путь к исполнению кода от имени суперпользователя.
На данный момент специалисты по кибербезопасности не зафиксировали ни одного случая практического использования этих четырех уязвимостей в реальных условиях. Патч выпущен на опережение, до того как злоумышленники смогли создать рабочие эксплойты для массового применения.
Первая из устраненных уязвимостей отслеживается как CVE-2025-40538 и относится к классу нарушения контроля доступа (Broken access control). Ошибка позволяет хакеру, уже обладающему привилегиями администратора домена или администратора группы, создать нового пользователя с правами системного администратора. Этот вектор открывает возможность для выполнения произвольного кода с правами root.
Две следующие ошибки — CVE-2025-40539 и CVE-2025-40540 — имеют идентичную техническую природу и классифицируются как путаница типов (Type confusion). Обе эти уязвимости ведут к одинаковому результату: они позволяют злоумышленнику выполнять произвольный нативный код от имени пользователя root, получая неограниченный доступ к файловому серверу.
Четвертая брешь, получившая идентификатор CVE-2025-40541, представляет собой уязвимость класса небезопасной прямой ссылки на объект (Insecure Direct Object Reference, IDOR). Эксплуатация этого недостатка программной логики также дает атакующему возможность выполнять нативный код на уровне системного пользователя root.
Несмотря на отсутствие текущих атак на обновленные уязвимости, исторический контекст Serv-U подтверждает высокий интерес хакеров к этому программному обеспечению. В прошлом злоумышленники неоднократно и успешно эксплуатировали другие ошибки в данном продукте, среди которых выделяются уязвимости CVE-2021-35211, CVE-2021-35247 и CVE-2024-28995. Особую угрозу в этом направлении представляла китайская хакерская группировка Storm-0322, которая в более ранних отчетах по безопасности отслеживалась под кодовым наименованием DEV-0322.
Изображение носит иллюстративный характер
Каждая из четырех обнаруженных проблем получила оценку 9.1 балла по Общей системе оценки уязвимостей (CVSS), что безоговорочно классифицирует их как критические. Однако для успешной эксплуатации этих уязвимостей существует строгое техническое условие: атакующий уже должен обладать правами администратора в целевой системе. Без этого предварительного уровня привилегий реализация атаки технически невозможна.
Степень реальной угрозы напрямую зависит от используемой операционной системы. При развертывании инфраструктуры Serv-U на серверах под управлением Windows уровень риска официально снижен до категории «Средний». Это обусловлено тем, что службы Windows по умолчанию запускаются под учетными записями с ограниченными привилегиями, что блокирует прямой путь к исполнению кода от имени суперпользователя.
На данный момент специалисты по кибербезопасности не зафиксировали ни одного случая практического использования этих четырех уязвимостей в реальных условиях. Патч выпущен на опережение, до того как злоумышленники смогли создать рабочие эксплойты для массового применения.
Первая из устраненных уязвимостей отслеживается как CVE-2025-40538 и относится к классу нарушения контроля доступа (Broken access control). Ошибка позволяет хакеру, уже обладающему привилегиями администратора домена или администратора группы, создать нового пользователя с правами системного администратора. Этот вектор открывает возможность для выполнения произвольного кода с правами root.
Две следующие ошибки — CVE-2025-40539 и CVE-2025-40540 — имеют идентичную техническую природу и классифицируются как путаница типов (Type confusion). Обе эти уязвимости ведут к одинаковому результату: они позволяют злоумышленнику выполнять произвольный нативный код от имени пользователя root, получая неограниченный доступ к файловому серверу.
Четвертая брешь, получившая идентификатор CVE-2025-40541, представляет собой уязвимость класса небезопасной прямой ссылки на объект (Insecure Direct Object Reference, IDOR). Эксплуатация этого недостатка программной логики также дает атакующему возможность выполнять нативный код на уровне системного пользователя root.
Несмотря на отсутствие текущих атак на обновленные уязвимости, исторический контекст Serv-U подтверждает высокий интерес хакеров к этому программному обеспечению. В прошлом злоумышленники неоднократно и успешно эксплуатировали другие ошибки в данном продукте, среди которых выделяются уязвимости CVE-2021-35211, CVE-2021-35247 и CVE-2024-28995. Особую угрозу в этом направлении представляла китайская хакерская группировка Storm-0322, которая в более ранних отчетах по безопасности отслеживалась под кодовым наименованием DEV-0322.
