Mastodon Mastodon Mastodon Mastodon

Progress Software требует отключить ShareFile Storage Zone Controller из-за неизвестной угрозы

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Progress Software потребовала от клиентов ShareFile немедленно отключить Windows-серверы с компонентом Storage Zone Controller, ссылаясь на «достоверную внешнюю угрозу безопасности». Компания превентивно заблокировала доступ к затронутым учётным записям и привлекла внешних экспертов, однако не раскрыла ни характер угрозы, ни стоящих за ней злоумышленников. Инцидент затрагивает только организации, использующие самостоятельно размещённые контроллеры хранения, — стандартные облачные аккаунты ShareFile продолжают работать. Всем администраторам затронутых систем следует немедленно выполнить требование об отключении и начать процедуру реагирования на инцидент.

Хронология и подтверждённые факты

Информация об инциденте стала публичной 10 июля, когда один из клиентов опубликовал письмо Progress на Reddit (r/sysadmin). Компания подтвердила сбой на странице статуса ShareFile, указав статус Storage Zone Controller как «не работает» и пометив инцидент как находящийся в расследовании (обновление от 12:12 EDT).

Storage Zone Controller — это серверный компонент, который организация разворачивает в собственной инфраструктуре. Он позволяет хранить файлы локально, при этом используя облако ShareFile для управления и обмена данными. Как правило, контроллер размещается на границе сети и доступен из интернета, что делает его привлекательной целью для атакующих.

Что говорит (и чего не говорит) Progress

Формулировки Progress заслуживают отдельного внимания. Компания заявила, что действует «из предосторожности» и что у неё нет данных о несанкционированном доступе к учётным записям или данным ShareFile. Однако это утверждение не подкреплено независимой верификацией и, что важнее, не исключает компрометацию самих контроллеров — только аккаунтов и данных в облаке.

Ключевой сигнал — сам характер требования. Progress приказала полностью отключить серверы, а не применить патч. Если бы исправление существовало, логичным шагом было бы его распространение. Требование полного отключения обычно указывает на одно из двух: либо уязвимость ещё не имеет исправления (сценарий нулевого дня), либо проблема носит характер, который патч не решает — например, компрометация криптографических ключей или инцидент на стороне самого вендора. На момент публикации Progress не предоставила ни CVE-идентификатора, ни технического описания угрозы, ни сроков возобновления работы.

Исторический контекст: повторяющийся паттерн

Это не первый инцидент безопасности, связанный с данным компонентом. В 2023 году, когда ShareFile ещё принадлежал Citrix, злоумышленники активно эксплуатировали уязвимость CVE-2023-24489 — критический дефект контроля доступа без аутентификации в Storage Zones Controller. Согласно данным NVD, уязвимость затрагивала версии до 5.11.24 и линейку 5.12.x до 5.12.4. Тогда Citrix аналогично отключила непропатченные контроллеры от облака ShareFile — тот же подход, который Progress применяет сейчас.

Стоит отметить расхождение в источниках: исходный материал утверждает, что CISA внесла CVE-2023-24489 в каталог активно эксплуатируемых уязвимостей (KEV), однако по данным NVD, эта уязвимость не отмечена как включённая в CISA KEV. Это расхождение не влияет на серьёзность текущего инцидента, но требует осторожности при оценке исторических параллелей.

Сама Progress, приобретшая ShareFile в 2024 году, ранее пережила масштабную атаку на свой продукт MOVEit Transfer. Кампания 2023 года, приписываемая группировке Clop, затронула, по различным оценкам, тысячи организаций. Таким образом, компания уже имеет опыт реагирования на массовые инциденты в продуктах для передачи файлов.

Кроме того, в начале 2025 года для Storage Zone Controller были исправлены ещё две критические уязвимости, однако Progress не связала текущую угрозу ни с одной из них, и информации об их эксплуатации нет.

Оценка рисков

Наибольшему риску подвержены организации, чьи Storage Zone Controller доступны из интернета — а это стандартная конфигурация для данного компонента. Учитывая, что контроллер обрабатывает корпоративные файлы и интегрирован с облачной инфраструктурой ShareFile, потенциальная компрометация может привести к утечке конфиденциальных данных, горизонтальному перемещению в корпоративной сети или использованию сервера как плацдарма для дальнейших атак.

Отсутствие патча и неопределённость сроков восстановления создают операционные риски: организации, зависящие от ShareFile для обмена файлами с контрагентами, вынуждены искать временные альтернативы.

Практические рекомендации

  1. Немедленно отключите все серверы Storage Zone Controller. Не перезапускайте их до официального разрешения Progress, даже если версия ПО актуальна.
  2. Убедитесь, что установлена актуальная версия: 5.12.4 или новее для линейки 5.x, либо любой релиз 6.x. Это закрывает ранее исправленные уязвимости, но не является основанием для перезапуска — Progress не подтвердила, что обновление устраняет текущую угрозу.
  3. Обращайтесь с каждым контроллером, доступным из интернета, как с потенциально скомпрометированным. Сохраните журналы, запустите процедуру реагирования на инцидент.
  4. Проверьте файловую систему контроллера на наличие нетипичных файлов .aspx в веб-каталогах и путях хранения, которые не были созданы администратором.
  5. Отслеживайте обновления на странице статуса ShareFile для получения информации о характере угрозы и сроках восстановления.

До тех пор, пока Progress не раскроет природу угрозы и не выпустит конкретные инструкции по восстановлению, единственное безопасное действие — держать контроллеры отключёнными. Организациям, для которых обмен файлами критичен, следует задействовать резервные каналы передачи данных и документировать все действия по реагированию — эта информация понадобится при последующем анализе инцидента, когда Progress наконец раскроет детали.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.