A Progress Software orientou clientes do ShareFile a desligar os servidores Windows que executam seus Storage Zone Controllers, confirmando ao The Hacker News que está respondendo a uma "ameaça externa de segurança crível".
A empresa desativou temporariamente o acesso às contas afetadas, medida que diz ter tomado "por excesso de cautela" enquanto trabalha com especialistas internos e externos em segurança.
A companhia afirma não ter indícios de acesso não autorizado a contas ou dados do ShareFile e informa que notificou os clientes após tomar conhecimento da ameaça.
O que a Progress não disse é qual é a ameaça nem quem está por trás dela.
A ordem se tornou pública quando um cliente publicou o e-mail da empresa no r/sysadmin do Reddit, em 10 de julho. A Progress confirmou a interrupção em sua página de status, classificando os clientes do Storage Zone Controller como "fora de operação" (not operational) e o incidente como em investigação, em atualização feita às 12h12 (horário EDT - Eastern Daylight Time).
Apenas o Storage Zone Controller é afetado, não as contas padrão do ShareFile exclusivamente em nuvem. O controller é um servidor que a própria empresa executa localmente, de modo que os arquivos podem permanecer em seu próprio armazenamento enquanto ela continua usando a nuvem do ShareFile para compartilhamento e gestão.
O controller geralmente fica na borda da rede, acessível pela internet. Essa exposição o torna ao mesmo tempo útil e um alvo. Orientar os clientes a colocá-lo totalmente offline, em vez de apenas aplicar um补丁, é um passo relevante.
Essa escolha, por si só, já diz algo. Se existisse uma correção para essa ameaça, a Progress estaria orientando os clientes a aplicá-la; a ordem de desligar indica que ainda não há solução. Isso geralmente aponta para uma falha recém-descoberta que a empresa corre para corrigir, embora o mesmo procedimento também se encaixe em uma ameaça que um补丁 não resolveria, como chaves roubadas ou um problema do lado da própria Progress.
A declaração de que nenhuma conta ou dado foi acessado também é uma formulação cuidadosa, e não descarta problemas nos próprios controllers.
O que fazer agora
- Cumpra primeiro a ordem de desligo. Mantenha os controllers afetados offline até que a Progress informe qual é a ameaça e quando é seguro reiniciá-los.
- Em paralelo, confirme que sua versão é a atual: 5.12.4 ou posterior na linha 5.x, ou uma versão 6.x. Isso fecha falhas corrigidas anteriormente neste ano, mas a Progress não disse que isso elimina a ameaça atual, então não trate como autorização para reiniciar.
- Se um controller estiver acessível pela internet, trate-o como um possível incidente. Preserve os registros (logs) e inicie seu processo de resposta a incidentes; em seguida, verifique se há arquivos .aspx desconhecidos nas pastas da web e nos caminhos de armazenamento que você não configurou. Um servidor com aparência limpa não é prova de que esteja limpo.
O ShareFile já passou por situação semelhante. Em 2023, quando o produto ainda pertencia à Citrix, atacantes exploraram uma falha não autenticada no mesmo Storage Zones Controller (CVE-2023-24489, identificador público de Vulnerabilidades e Exposições Comuns).
A CISA (Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos) sinalizou a falha como ativamente explorada, e a Citrix cortou o acesso à nuvem do ShareFile dos controllers sem补丁, o mesmo bloqueio de acesso que a Progress agora aplicou.
A Progress, que adquiriu o ShareFile em 2024, já havia enfrentado um grande ataque de transferência de arquivos de sua própria plataforma: o MOVEit, cuja vulnerabilidade de dia zero (zero-day) de 2023 foi explorada pelo grupo Clop e atingiu mais de 2.700 organizações.
O Storage Zones Controller também teve duas falhas críticas divulgadas pela watchTowr em abril e corrigidas pela Progress em março, embora a empresa não tenha relacionado a ameaça atual a elas e nenhuma tenha sido reportada como explorada.
A pergunta central segue sem resposta: a Progress tirou esses sistemas do ar e está trabalhando com especialistas externos, mas não disse qual é a ameaça nem quando os clientes poderão colocá-los em operação com segurança.