Segurança

URGENTE - Progress orienta clientes do ShareFile a desligar controladores de Storage Zone por ameaça de segurança

A Progress Software orientou clientes do ShareFile a desligar os servidores Windows que executam os Storage Zone Controllers após identificar uma "ameaça externa de segurança crível". A empresa desativou temporariamente o acesso das contas afetadas por precaução, enquanto trabalha com especialistas internos e externos. Não há indícios de acesso não autorizado a contas ou dados, mas a empresa não revelou detalhes sobre a ameaça nem sobre seus responsáveis.


Swati Khandelwal Sábado - 11 de Julho de 2026 às 00:36
The Hacker News

A Progress Software orientou clientes do ShareFile a desligar os servidores Windows que executam seus Storage Zone Controllers, confirmando ao The Hacker News que está respondendo a uma "ameaça externa de segurança crível".

A empresa desativou temporariamente o acesso às contas afetadas, medida que diz ter tomado "por excesso de cautela" enquanto trabalha com especialistas internos e externos em segurança.

A companhia afirma não ter indícios de acesso não autorizado a contas ou dados do ShareFile e informa que notificou os clientes após tomar conhecimento da ameaça.

O que a Progress não disse é qual é a ameaça nem quem está por trás dela.

A ordem se tornou pública quando um cliente publicou o e-mail da empresa no r/sysadmin do Reddit, em 10 de julho. A Progress confirmou a interrupção em sua página de status, classificando os clientes do Storage Zone Controller como "fora de operação" (not operational) e o incidente como em investigação, em atualização feita às 12h12 (horário EDT - Eastern Daylight Time).

Apenas o Storage Zone Controller é afetado, não as contas padrão do ShareFile exclusivamente em nuvem. O controller é um servidor que a própria empresa executa localmente, de modo que os arquivos podem permanecer em seu próprio armazenamento enquanto ela continua usando a nuvem do ShareFile para compartilhamento e gestão.

O controller geralmente fica na borda da rede, acessível pela internet. Essa exposição o torna ao mesmo tempo útil e um alvo. Orientar os clientes a colocá-lo totalmente offline, em vez de apenas aplicar um补丁, é um passo relevante.

Essa escolha, por si só, já diz algo. Se existisse uma correção para essa ameaça, a Progress estaria orientando os clientes a aplicá-la; a ordem de desligar indica que ainda não há solução. Isso geralmente aponta para uma falha recém-descoberta que a empresa corre para corrigir, embora o mesmo procedimento também se encaixe em uma ameaça que um补丁 não resolveria, como chaves roubadas ou um problema do lado da própria Progress.

A declaração de que nenhuma conta ou dado foi acessado também é uma formulação cuidadosa, e não descarta problemas nos próprios controllers.

O que fazer agora

  1. Cumpra primeiro a ordem de desligo. Mantenha os controllers afetados offline até que a Progress informe qual é a ameaça e quando é seguro reiniciá-los.
  2. Em paralelo, confirme que sua versão é a atual: 5.12.4 ou posterior na linha 5.x, ou uma versão 6.x. Isso fecha falhas corrigidas anteriormente neste ano, mas a Progress não disse que isso elimina a ameaça atual, então não trate como autorização para reiniciar.
  3. Se um controller estiver acessível pela internet, trate-o como um possível incidente. Preserve os registros (logs) e inicie seu processo de resposta a incidentes; em seguida, verifique se há arquivos .aspx desconhecidos nas pastas da web e nos caminhos de armazenamento que você não configurou. Um servidor com aparência limpa não é prova de que esteja limpo.

O ShareFile já passou por situação semelhante. Em 2023, quando o produto ainda pertencia à Citrix, atacantes exploraram uma falha não autenticada no mesmo Storage Zones Controller (CVE-2023-24489, identificador público de Vulnerabilidades e Exposições Comuns).

A CISA (Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos) sinalizou a falha como ativamente explorada, e a Citrix cortou o acesso à nuvem do ShareFile dos controllers sem补丁, o mesmo bloqueio de acesso que a Progress agora aplicou.

A Progress, que adquiriu o ShareFile em 2024, já havia enfrentado um grande ataque de transferência de arquivos de sua própria plataforma: o MOVEit, cuja vulnerabilidade de dia zero (zero-day) de 2023 foi explorada pelo grupo Clop e atingiu mais de 2.700 organizações.

O Storage Zones Controller também teve duas falhas críticas divulgadas pela watchTowr em abril e corrigidas pela Progress em março, embora a empresa não tenha relacionado a ameaça atual a elas e nenhuma tenha sido reportada como explorada.

A pergunta central segue sem resposta: a Progress tirou esses sistemas do ar e está trabalhando com especialistas externos, mas não disse qual é a ameaça nem quando os clientes poderão colocá-los em operação com segurança.

ShareFile Progress Software Cibersegurança