Mastodon Mastodon Mastodon Mastodon

Progress schaltet ShareFile Storage Zone Controller wegen Sicherheitsbedrohung ab

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Progress Software hat Kunden von ShareFile aufgefordert, Windows-Server mit dem Bestandteil Storage Zone Controller umgehend abzuschalten und verweist dabei auf eine „glaubhafte externe Sicherheitsbedrohung“. Das Unternehmen hat den Zugriff auf betroffene Konten vorsorglich gesperrt und externe Experten hinzugezogen, legt jedoch weder die Art der Bedrohung noch die dahinterstehenden Angreifer offen. Der Vorfall betrifft ausschließlich Organisationen, die selbst gehostete Storage-Controller einsetzen – Standard-Cloud-Accounts von ShareFile arbeiten weiter. Alle Administratoren betroffener Systeme sollten der Aufforderung zur Abschaltung sofort nachkommen und den Incident-Response-Prozess einleiten.

Chronologie und bestätigte Fakten

Informationen zu dem Vorfall wurden am 10. Juli öffentlich, als einer der Kunden das Schreiben von Progress auf Reddit (r/sysadmin) veröffentlichte. Das Unternehmen bestätigte die Störung auf der ShareFile-Statusseite, setzte den Status des Storage Zone Controller auf „nicht funktionsfähig“ und markierte den Vorfall als „in Untersuchung“ (Update von 12:12 EDT).

Der Storage Zone Controller ist eine Serverkomponente, die eine Organisation in ihrer eigenen Infrastruktur bereitstellt. Sie ermöglicht es, Dateien lokal zu speichern und gleichzeitig die ShareFile-Cloud für Verwaltung und Datenaustausch zu nutzen. In der Regel wird der Controller am Netzwerkrand platziert und ist aus dem Internet erreichbar, was ihn zu einem attraktiven Ziel für Angreifer macht.

Was Progress sagt – und was nicht

Die Formulierungen von Progress verdienen besondere Aufmerksamkeit. Das Unternehmen erklärte, man handele „aus Vorsicht“ und habe keine Hinweise auf unautorisierten Zugriff auf ShareFile-Konten oder -Daten. Diese Aussage ist jedoch weder unabhängig verifiziert noch – was wichtiger ist – schließt sie eine Kompromittierung der Controller selbst nicht aus, sondern nur der Konten und Daten in der Cloud.

Ein entscheidender Hinweis ist die Art der Anweisung selbst. Progress ordnete an, die Server vollständig abzuschalten, statt einen Patch einzuspielen. Wäre eine Korrektur bereits verfügbar, wäre deren Verteilung der naheliegende Schritt. Die Forderung nach kompletter Abschaltung weist in der Regel auf eines von zwei Szenarien hin: Entweder gibt es noch keinen Fix für die Schwachstelle (Zero-Day-Szenario), oder das Problem ist von einer Art, die sich nicht durch einen Patch beheben lässt – etwa eine Kompromittierung kryptografischer Schlüssel oder ein Vorfall auf Seiten des Herstellers selbst. Zum Zeitpunkt der Veröffentlichung hat Progress weder eine CVE-Kennung noch eine technische Beschreibung der Bedrohung oder einen Zeitplan für die Wiederaufnahme des Betriebs bereitgestellt.

Historischer Kontext: ein wiederkehrendes Muster

Dies ist nicht der erste Sicherheitsvorfall im Zusammenhang mit dieser Komponente. Im Jahr 2023, als ShareFile noch zu Citrix gehörte, nutzten Angreifer die Schwachstelle CVE-2023-24489 aktiv aus – einen kritischen Fehler in der Zugriffskontrolle ohne Authentifizierung im Storage Zones Controller. Laut NVD betraf die Schwachstelle Versionen bis 5.11.24 sowie die 5.12.x-Reihe bis 5.12.4. Damals trennte Citrix ungepatchte Controller ebenfalls von der ShareFile-Cloud – derselbe Ansatz, den Progress jetzt anwendet.

Bemerkenswert ist eine Diskrepanz in den Quellen: Das Ausgangsmaterial behauptet, CISA habe CVE-2023-24489 in den Katalog aktiv ausgenutzter Schwachstellen (KEV) aufgenommen, doch laut NVD ist diese Schwachstelle nicht als Teil des CISA-KEV gekennzeichnet. Diese Abweichung ändert nichts an der Schwere des aktuellen Vorfalls, erfordert jedoch Vorsicht bei der Bewertung historischer Parallelen.

Progress selbst, das ShareFile im Jahr 2024 übernommen hat, war zuvor Ziel einer groß angelegten Attacke auf sein Produkt MOVEit Transfer. Die Kampagne von 2023, die der Gruppe Clop zugeschrieben wird, betraf Schätzungen zufolge Tausende von Organisationen. Das Unternehmen verfügt damit bereits über Erfahrung im Umgang mit massenhaften Sicherheitsvorfällen in File-Transfer-Produkten.

Darüber hinaus wurden Anfang 2025 für den Storage Zone Controller zwei weitere kritische Schwachstellen behoben, doch Progress hat die aktuelle Bedrohung mit keiner von ihnen in Verbindung gebracht, und es liegen keine Informationen zu deren Ausnutzung vor.

Risikobewertung

Am stärksten gefährdet sind Organisationen, deren Storage Zone Controller aus dem Internet erreichbar sind – was der Standardkonfiguration dieser Komponente entspricht. Da der Controller Unternehmensdateien verarbeitet und mit der ShareFile-Cloud-Infrastruktur integriert ist, könnte eine Kompromittierung zu einem Abfluss vertraulicher Daten, zu lateraler Bewegung im Unternehmensnetz oder zur Nutzung des Servers als Ausgangsbasis für weitere Angriffe führen.

Das Fehlen eines Patches und die unklaren Wiederanlaufzeiten erzeugen operationelle Risiken: Organisationen, die für den Dateiaustausch mit Partnern auf ShareFile angewiesen sind, müssen auf temporäre Alternativen ausweichen.

Praktische Empfehlungen

  1. Schalten Sie alle Storage Zone Controller-Server sofort ab. Starten Sie sie nicht neu, bis Progress dies offiziell freigibt – auch dann nicht, wenn die Softwareversion aktuell ist.
  2. Stellen Sie sicher, dass die aktuelle Version installiert ist: 5.12.4 oder neuer für die 5.x-Reihe bzw. ein beliebiges 6.x-Release. Damit werden bereits behobene Schwachstellen geschlossen, dies ist jedoch kein ausreichender Grund für einen Neustart – Progress hat nicht bestätigt, dass das Update die aktuelle Bedrohung beseitigt.
  3. Behandeln Sie jeden aus dem Internet erreichbaren Controller als potenziell kompromittiert. Sichern Sie Logs und starten Sie den Incident-Response-Prozess.
  4. Prüfen Sie das Dateisystem des Controllers auf untypische .aspx-Dateien in Webverzeichnissen und Speicherpfaden, die nicht vom Administrator angelegt wurden.
  5. Verfolgen Sie Updates auf der ShareFile-Statusseite, um Informationen zur Art der Bedrohung und zu Wiederanlaufzeiten zu erhalten.

Solange Progress die Natur der Bedrohung nicht offenlegt und keine konkreten Anweisungen zur Wiederinbetriebnahme gibt, besteht die einzige sichere Maßnahme darin, die Controller abgeschaltet zu lassen. Organisationen, für die der Dateiaustausch geschäftskritisch ist, sollten alternative Übertragungskanäle nutzen und sämtliche Reaktionsmaßnahmen dokumentieren – diese Informationen werden für die nachträgliche Analyse des Vorfalls wichtig sein, sobald Progress schließlich Details offenlegt.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.