文章总结： SolarWinds发布安全更新修复了Serv-U中四个严重的远程代码执行漏洞，其中最严重的CVE-2025-40538允许高权限攻击者获得root权限。全球目前有超1.2万台服务器暴露于互联网。由于历史漏洞曾被勒索团伙利用，建议相关组织尽快升级至15.5.4版本，并关注CISA追踪的相关漏洞动态。 综合评分： 81 文章分类： 漏洞预警,威胁情报,漏洞分析

SolarWinds Serv-U 的关键漏洞可导致服务器获得 root 访问权限

Rhinoer Rhinoer

犀牛安全

2026年3月24日 06:22 北京

SolarWinds 发布了安全更新，修复了四个严重的 Serv-U 远程代码执行漏洞，这些漏洞可能使攻击者获得对未打补丁服务器的 root 访问权限。

Serv-U 是该公司的自托管 Windows 和 Linux 文件传输软件，它同时具备托管文件传输 (MFT) 和 FTP 服务器功能，使组织能够通过 FTP、FTPS、SFTP 和 HTTP/S 安全地交换文件。

SolarWinds 今天在 Serv-U 15.5.4 中修复的四个安全漏洞中，最严重的漏洞是 CVE-2025-40538，它允许具有高权限的攻击者获得易受攻击服务器上的 root 或 admin 权限。

SolarWinds在周二发布的一份公告中表示：“Serv-U中存在一个访问控制漏洞，一旦被利用，攻击者就可以创建系统管理员用户，并通过域管理员或组管理员权限以root身份执行任意代码。”

该公司还修复了两个类型混淆漏洞和一个不安全的直接对象引用 (IDOR) 漏洞，该漏洞可被利用以获得 root 权限来执行代码。

幸运的是，这四个安全漏洞都要求攻击者已经拥有目标服务器上的高级权限，这将限制潜在的利用尝试，使其仅限于攻击者可以链接权限提升漏洞或使用先前窃取的管理员凭据的情况。

Shodan 目前追踪到超过 12,000 台暴露于互联网的 Serv-U 服务器，而 Shadowserver 估计这个数字不到1,200 台。

像 SolarWinds Serv-U 这样的文件传输软件经常成为攻击目标，因为它提供了对可能包含敏感的公司和客户数据的文档的便捷访问。

在过去的五年里，多个网络犯罪组织和国家支持的黑客组织针对 Serv-U 漏洞发动了数据窃取攻击，其中 Clop 团伙利用 Serv-U Secure FTP 远程代码执行漏洞 (CVE-2021-35211) 入侵企业网络，发动勒索软件攻击。

总部位于某国的黑客（微软追踪的编号为 DEV-0322）主要以美国国防和软件公司为攻击目标，他们从 2021 年 7 月开始，利用 CVE-2021-35211 漏洞发起零日攻击。

最近，在 2024 年 6 月，网络安全公司 Rapid7 和 GreyNoise 指出 SolarWinds Serv-U 路径遍历漏洞 (CVE-2024-28995)已被威胁行为者利用公开可用的概念验证 (PoC) 漏洞进行积极利用。

美国网络安全和基础设施安全局 (CISA) 目前正在追踪 SolarWinds 的九个安全漏洞，这些漏洞要么已经被利用，要么仍在被积极利用。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《SolarWinds Serv-U 的关键漏洞可导致服务器获得 root 访问权限》