Progress Software зажадала від клієнтів ShareFile негайно вимкнути Windows-сервери з компонентом Storage Zone Controller, посилаючись на «достовірну зовнішню загрозу безпеці». Компанія превентивно заблокувала доступ до задіяних облікових записів і залучила зовнішніх експертів, однак не розкрила ні характер загрози, ні зловмисників, які за нею стоять. Інцидент стосується лише організацій, що використовують самостійно розгорнуті контролери зберігання, — стандартні хмарні облікові записи ShareFile продовжують працювати. Усі адміністратори задіяних систем мають негайно виконати вимогу щодо вимкнення й розпочати процедуру реагування на інцидент.
Хронологія та підтверджені факти
Інформація про інцидент стала публічною 10 липня, коли один із клієнтів опублікував лист Progress на Reddit (r/sysadmin). Компанія підтвердила збій на сторінці статусу ShareFile, вказавши статус Storage Zone Controller як «не працює» та позначивши інцидент як такий, що перебуває в розслідуванні (оновлення від 12:12 EDT).
Storage Zone Controller — це серверний компонент, який організація розгортає у власній інфраструктурі. Він дає змогу зберігати файли локально, водночас використовуючи хмару ShareFile для керування та обміну даними. Зазвичай контролер розміщується на межі мережі й доступний з інтернету, що робить його привабливою ціллю для зловмисників.
Що говорить (і чого не говорить) Progress
Формулювання Progress заслуговують на окрему увагу. Компанія заявила, що діє «з перестороги» і що в неї немає даних про несанкціонований доступ до облікових записів або даних ShareFile. Однак це твердження не підкріплене незалежною верифікацією і, що важливіше, не виключає компрометацію самих контролерів — лише облікових записів і даних у хмарі.
Ключовий сигнал — сам характер вимоги. Progress наказала повністю вимкнути сервери, а не застосувати патч. Якби виправлення існувало, логічним кроком було б його розповсюдження. Вимога повного вимкнення зазвичай вказує на одне з двох: або вразливість ще не має виправлення (сценарій нульового дня), або проблема має характер, який патч не розв’язує — наприклад, компрометація криптографічних ключів чи інцидент на боці самого вендора. На момент публікації Progress не надала ні CVE-ідентифікатора, ні технічного опису загрози, ні строків відновлення роботи.
Історичний контекст: повторюваний патерн
Це не перший інцидент безпеки, пов’язаний із цим компонентом. У 2023 році, коли ShareFile ще належав Citrix, зловмисники активно експлуатували вразливість CVE-2023-24489 — критичний дефект контролю доступу без автентифікації в Storage Zones Controller. Згідно з даними NVD, вразливість зачіпала версії до 5.11.24 і лінійку 5.12.x до 5.12.4. Тоді Citrix аналогічно від’єднала непатчені контролери від хмари ShareFile — той самий підхід, який Progress застосовує зараз.
Варто зазначити розбіжність у джерелах: вихідний матеріал стверджує, що CISA внесла CVE-2023-24489 до каталогу активно експлуатованих вразливостей (KEV), однак за даними NVD, ця вразливість не позначена як включена до CISA KEV. Ця розбіжність не впливає на серйозність поточного інциденту, але вимагає обережності під час оцінки історичних паралелей.
Сама Progress, що придбала ShareFile у 2024 році, раніше пережила масштабну атаку на свій продукт MOVEit Transfer. Кампанія 2023 року, яку приписують угрупованню Clop, зачепила, за різними оцінками, тисячі організацій. Таким чином, компанія вже має досвід реагування на масові інциденти в продуктах для передавання файлів.
Крім того, на початку 2025 року для Storage Zone Controller було виправлено ще дві критичні вразливості, однак Progress не пов’язала поточну загрозу з жодною з них, і відомостей про їх експлуатацію немає.
Оцінка ризиків
Найбільшому ризику піддаються організації, чиї Storage Zone Controller доступні з інтернету — а це стандартна конфігурація для цього компонента. Враховуючи, що контролер обробляє корпоративні файли й інтегрований із хмарною інфраструктурою ShareFile, потенційна компрометація може призвести до витоку конфіденційних даних, горизонтального переміщення в корпоративній мережі або використання сервера як плацдарму для подальших атак.
Відсутність патча й невизначеність строків відновлення створюють операційні ризики: організації, що залежать від ShareFile для обміну файлами з контрагентами, змушені шукати тимчасові альтернативи.
Практичні рекомендації
- Негайно вимкніть усі сервери Storage Zone Controller. Не перезапускайте їх до офіційного дозволу Progress, навіть якщо версія ПЗ актуальна.
- Переконайтеся, що встановлена актуальна версія: 5.12.4 або новіша для лінійки 5.x, або будь-який реліз 6.x. Це закриває раніше виправлені вразливості, але не є підставою для перезапуску — Progress не підтвердила, що оновлення усуває поточну загрозу.
- Сприймайте кожен контролер, доступний з інтернету, як потенційно скомпрометований. Збережіть журнали, запустіть процедуру реагування на інцидент.
- Перевірте файлову систему контролера на наявність нетипових файлів .aspx у вебкаталогах і шляхах зберігання, які не були створені адміністратором.
- Відстежуйте оновлення на сторінці статусу ShareFile, щоб отримувати інформацію про характер загрози та строки відновлення.
Доти, доки Progress не розкриє природу загрози й не випустить конкретні інструкції щодо відновлення, єдина безпечна дія — тримати контролери вимкненими. Організаціям, для яких обмін файлами є критичним, слід задіяти резервні канали передавання даних і документувати всі дії з реагування — ця інформація знадобиться під час подальшого аналізу інциденту, коли Progress нарешті розкриє деталі.