Mastodon Mastodon Mastodon Mastodon

Incidente de seguridad en ShareFile y orden de desconectar Storage Zone Controller

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Progress Software exigió a los clientes de ShareFile que desconectaran de inmediato los servidores Windows con el componente Storage Zone Controller, alegando una «creíble amenaza de seguridad externa». La empresa bloqueó de forma preventiva el acceso a las cuentas afectadas y recurrió a expertos externos, pero no ha revelado ni la naturaleza de la amenaza ni la identidad de los atacantes. El incidente solo afecta a las organizaciones que utilizan controladores de almacenamiento autoalojados; las cuentas estándar en la nube de ShareFile siguen operativas. Todos los administradores de los sistemas afectados deben cumplir de inmediato la orden de desconexión e iniciar el procedimiento de respuesta a incidentes.

Cronología y hechos confirmados

La información sobre el incidente se hizo pública el 10 de julio, cuando uno de los clientes publicó la carta de Progress en Reddit (r/sysadmin). La compañía confirmó la interrupción en la página de estado de ShareFile, marcando el estado de Storage Zone Controller como «no operativo» y etiquetando el incidente como «en investigación» (actualización de las 12:12 EDT).

Storage Zone Controller es un componente de servidor que la organización despliega en su propia infraestructura. Permite almacenar archivos localmente utilizando al mismo tiempo la nube de ShareFile para la gestión y el intercambio de datos. Por lo general, el controlador se ubica en el perímetro de la red y es accesible desde Internet, lo que lo convierte en un objetivo atractivo para los atacantes.

Lo que dice (y lo que no dice) Progress

La redacción empleada por Progress merece atención especial. La compañía afirmó que actúa «por precaución» y que no dispone de datos sobre accesos no autorizados a cuentas o a datos de ShareFile. Sin embargo, esta afirmación no está respaldada por una verificación independiente y, lo que es más importante, no descarta la posible compromisión de los propios controladores, solo de las cuentas y de los datos en la nube.

La propia naturaleza de la orden es el indicador clave. Progress ha exigido apagar por completo los servidores, y no aplicar un parche. Si existiera un parche, el paso lógico sería distribuirlo. Una orden de apagado completo suele apuntar a uno de dos escenarios: o bien la vulnerabilidad aún no dispone de corrección (escenario de zero-day), o bien el problema tiene una naturaleza que un parche no puede resolver, por ejemplo, el compromiso de claves criptográficas o un incidente en la propia infraestructura del proveedor. Hasta el momento de esta publicación, Progress no ha facilitado ningún identificador CVE, ni una descripción técnica de la amenaza, ni plazos para la reanudación del servicio.

Contexto histórico: un patrón que se repite

No es el primer incidente de seguridad relacionado con este componente. En 2023, cuando ShareFile aún pertenecía a Citrix, los atacantes explotaron activamente la vulnerabilidad CVE-2023-24489, un fallo crítico de control de acceso sin autenticación en Storage Zones Controller. Según los datos de NVD, la vulnerabilidad afectaba a las versiones anteriores a la 5.11.24 y a la rama 5.12.x hasta la 5.12.4. En aquel momento, Citrix desconectó de forma similar de la nube de ShareFile los controladores sin parchear: el mismo enfoque que Progress está aplicando ahora.

Conviene señalar una discrepancia entre las fuentes: el material original afirma que CISA incluyó CVE-2023-24489 en el catálogo de vulnerabilidades explotadas activamente (KEV), pero según los datos de NVD, esta vulnerabilidad no figura como incluida en el CISA KEV. Esta discrepancia no afecta a la gravedad del incidente actual, pero exige prudencia al valorar los paralelismos históricos.

La propia Progress, que adquirió ShareFile en 2024, ya había sufrido antes un ataque a gran escala contra su producto MOVEit Transfer. La campaña de 2023, atribuida al grupo Clop, afectó, según diversas estimaciones, a miles de organizaciones. Por tanto, la compañía ya tiene experiencia en la gestión de incidentes masivos en productos de transferencia de ficheros.

Además, a principios de 2025 se corrigieron otras dos vulnerabilidades críticas en Storage Zone Controller; sin embargo, Progress no ha relacionado la amenaza actual con ninguna de ellas y no hay información sobre su explotación.

Evaluación de riesgos

Las organizaciones más expuestas al riesgo son aquellas cuyos Storage Zone Controller son accesibles desde Internet, que es la configuración estándar para este componente. Dado que el controlador procesa archivos corporativos y está integrado con la infraestructura en la nube de ShareFile, una posible compromisión podría derivar en fuga de datos confidenciales, movimientos laterales dentro de la red corporativa o en el uso del servidor como punto de apoyo para ataques posteriores.

La ausencia de un parche y la incertidumbre sobre los plazos de recuperación generan riesgos operativos: las organizaciones que dependen de ShareFile para el intercambio de archivos con terceros se ven obligadas a buscar alternativas temporales.

Recomendaciones prácticas

  1. Desconecte de inmediato todos los servidores Storage Zone Controller. No los reinicie hasta recibir autorización oficial de Progress, incluso si la versión de software está actualizada.
  2. Verifique que tiene instalada la versión actual: 5.12.4 o posterior para la rama 5.x, o cualquier versión 6.x. Esto cierra vulnerabilidades corregidas anteriormente, pero no constituye un motivo suficiente para volver a ponerlos en marcha: Progress no ha confirmado que la actualización elimine la amenaza actual.
  3. Considere cada controlador accesible desde Internet como potencialmente comprometido. Conserve los registros y active el procedimiento de respuesta a incidentes.
  4. Revise el sistema de archivos del controlador en busca de archivos .aspx atípicos en los directorios web y en las rutas de almacenamiento que no hayan sido creados por el administrador.
  5. Supervise las actualizaciones en la página de estado de ShareFile para obtener información sobre la naturaleza de la amenaza y los plazos de recuperación.

Hasta que Progress no revele la naturaleza de la amenaza y publique instrucciones concretas de recuperación, la única acción segura es mantener los controladores apagados. Las organizaciones para las que el intercambio de archivos es crítico deben recurrir a canales alternativos de transferencia de datos y documentar todas las acciones de respuesta; esta información será necesaria para el análisis posterior del incidente, cuando Progress revele por fin los detalles.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.