
Компания Progress Software 10 июля выпустила экстренное предписание, обязывающее все организации, использующие локальные контроллеры зон хранения ShareFile, немедленно отключить сервер Windows, на котором работает эта система, — и при этом патча для установки не существует. Одновременно компания заблокировала облачный доступ для всех затронутых учетных записей, оставив операции корпоративного обмена файлами с использованием гибридного локального компонента в автономном режиме без указания сроков восстановления и без публичного объяснения, что представляет собой угроза.
Для любой организации, использующей контроллер зоны хранения, это не рекомендация. Формулировки Progress недвусмысленны: «Вы должны вручную отключить сервер, на котором работают ваши контроллеры зон хранения. Это критически важный дополнительный шаг для обеспечения безопасности ваших данных», — сообщил Progress клиентам в экстренном письме 10 июля.
Что Progress сказал — и чего не сказал
Progress подтвердил экстренную ситуацию изданию BleepingComputer и The Hacker News, описав «достоверную внешнюю угрозу безопасности, нацеленную на контроллеры зон хранения ShareFile от Progress Software». Компания заявила, что на момент раскрытия информации у нее не было данных о несанкционированном доступе к каким-либо учетным записям или данным ShareFile, и представила сбой как меру предосторожности, пока она работает с внутренними и внешними экспертами по кибербезопасности для расследования.
Чего Progress не сказал: в чем заключается угроза. Инциденту не присвоен идентификатор CVE. Ни один субъект угрозы или технические индикаторы не были публично названы. Progress не сообщил, связана ли угроза с уязвимостью нулевого дня, были ли скомпрометированы какие-либо контроллеры зон хранения или когда клиенты смогут безопасно вернуть свои системы в строй. Страница статуса компании по состоянию на 12:12 по восточному времени 10 июля указывала клиентов с контроллерами зон хранения как «неработающих».
Отсутствие патча — самая значимая деталь в реакции компании. Когда у Progress есть исправление, он сообщает клиентам применить его — тот факт, что здесь предписание заключается в полном отключении, а не в установке патча и перезапуске, сигнализирует о том, что на момент раскрытия информации не существовало общедоступного средства устранения. Такая схема характерна для вендора, спешащего закрыть недавно обнаруженную ошибку, но она также характерна для угрозы, которую патч не может устранить сам по себе, например, скомпрометированные учетные данные или проблема в собственной инфраструктуре Progress.
Как контроллер зоны хранения создает поверхность атаки
ShareFile — это корпоративная платформа для обмена файлами и совместной работы от Progress Software. Большинство организаций используют ее как облачный сервис. Контроллер зоны хранения — это опциональный локальный компонент (сервер Windows, работающий на .NET под управлением веб-сервера IIS от Microsoft), который позволяет организациям с требованиями к месту хранения данных или регуляторными ограничениями хранить файлы на собственной инфраструктуре, продолжая использовать облако ShareFile для аутентификации, управления пользователями и совместной работы.
Гибридная архитектура решает реальную проблему соответствия требованиям. Но она создает и значительную проблему безопасности. Контроллер по замыслу должен быть доступен из интернета, поскольку облако ShareFile направляет к нему пользовательские запросы для получения и хранения файлов. Это помещает веб-приложение на .NET, обрабатывающее конфиденциальные корпоративные файлы, непосредственно на сетевой периметр, доступное извне организации. Каждая организация, развернувшая такой контроллер для соблюдения требований к месту хранения данных, по логике этой конструкции выставила высокоценную цель в публичный интернет, как задокументировала watchTowr Labs в своем исследовании в апреле 2026 года.
Продукт с двумя недавними критическими уязвимостями, уже исправленными
Текущее предписание об отключении последовало за отдельным раскрытием критической уязвимости в апреле 2026 года. Исследователи безопасности из watchTowr Labs раскрыли две связываемые уязвимости в ветке 5.x контроллера зоны хранения: CVE-2026-2699 (обход аутентификации, оцененный в 9,8 по CVSS) и CVE-2026-2701 (удаленное выполнение кода, оцененное в 9,1 по CVSS).
Механизм CVE-2026-2699 — это класс ошибок веб-приложений на .NET, называемый «выполнение после перенаправления»: код продолжает выполняться после выдачи HTTP-перенаправления, которое должно было завершить запрос, что позволяет неаутентифицированному атакующему получить доступ к страницам администрирования, которые должны быть недоступны. CVE-2026-2701 связывалась с этим обходом: оказавшись в интерфейсе администрирования, атакующий мог изменить путь записи файлов зоны хранения на веб-доступное расположение, а затем загрузить ZIP-архив, содержимое которого автоматически извлекалось в это расположение, записывая вредоносную ASPX-оболочку непосредственно в веб-каталог сервера. Результатом было неаутентифицированное удаленное выполнение кода: полный захват сервера без единого действительного учетного данными.
Progress исправил обе уязвимости в версии 5.12.4, выпущенной 10 марта 2026 года — до публичного раскрытия 2 апреля. Более новая ветка 6.x, перестроенная на .NET Core, не была затронута ни одной из ошибок. На момент публикации результатов watchTowr Фонд Shadowserver идентифицировал примерно 784 экземпляра контроллера зоны хранения, доступных из интернета, причем наибольшая подверженность наблюдалась в США и Германии; собственное более широкое сканирование watchTowr обнаружило около 30 000 экземпляров, видимых в интернете.
Progress прямо не связал текущий инцидент в июле 2026 года с CVE-2026-2699 или CVE-2026-2701, и ни одна из апрельских уязвимостей не была публично зафиксирована как эксплуатируемая. Текущая угроза остается неприписанной и технически неописанной.
Почему платформы для передачи файлов снова и снова оказываются в такой ситуации
Это не первая чрезвычайная ситуация с передачей файлов у Progress Software, и контроллер зоны хранения уже становился целью. В 2023 году, когда продукт еще принадлежал Citrix, атакующие использовали CVE-2023-24489 — уязвимость неаутентифицированного удаленного выполнения кода, вызванную криптографической ошибкой в обработке AES-шифрования контроллером. CISA добавила эту уязвимость в свой каталог известных эксплуатируемых уязвимостей и обязала устранить ее до 6 сентября 2023 года. Реакция Citrix тогда была такой же, как реакция Progress сейчас: заблокировать все неисправленные контроллеры от подключения к облаку ShareFile. Та же тактика блокировки доступа, примененная к тому же компоненту продукта, в третий раз за три года.
Progress приобрел ShareFile у Cloud Software Group за 875 миллионов долларов в октябре 2024 года — через несколько месяцев после того, как MOVEit Transfer, другой продукт Progress для передачи файлов, стал центральным элементом одной из крупнейших кампаний по краже данных за последнее время. В 2023 году группа вымогателей Clop использовала уязвимость нулевого дня (SQL-инъекцию) в MOVEit Transfer, скомпрометировав более 2700 организаций по всему миру, после чего начала массовую кампанию вымогательства. CISA оценила, что Clop скомпрометировал более 3000 организаций в США и 8000 по всему миру в ходе своей многолетней серии атак на управляемые файловые передачи, которые до MOVEit также были нацелены на File Transfer Appliance от Accellion и платформу GoAnywhere MFT.
Схема структурно последовательна. Платформы управляемой передачи файлов являются концентрированной целью: они по замыслу доступны из интернета, содержат конфиденциальные данные множества организаций и им неявно доверяют организации и партнеры, которые на них полагаются. Компрометация одного вендора или платформы MFT дает атакующему доступ не к файлам одной организации — он получает доступ к каждой организации, чьи данные проходят через эту систему. Для финансово мотивированных групп вымогателей такая экономическая логика делает платформы MFT стоящими значительных усилий для атаки, включая годы подготовки перед ударом, как задокументировал анализ Kroll подготовки Clop к атаке на MOVEit.
Имеет ли смысл локальное развертывание?
Исследователи безопасности годами утверждали, что доступные из интернета компоненты управляемой передачи файлов представляют собой необороняемую архитектуру для организаций с конфиденциальными данными. Сочетание устаревших кодовых баз, поверхностей атаки до аутентификации и высокой концентрации регулируемых или конфиденциальных данных делает их постоянной приоритетной целью.
Текущий инцидент ставит перед организациями, развернувшими контроллеры зон хранения специально для удовлетворения требований к месту хранения данных, более сложный вопрос: стоит ли хранение файлов вне облака вендора того, чтобы создавать доступный из интернета сервер, который уже в третий раз за три года становится объектом экстренного предписания об отключении? Преимущество локального хранения с точки зрения соответствия требованиям реально. Столь же реален и продемонстрированный шаблон атак. Организациям следует использовать это окно простоя, чтобы формально оценить, могут ли требования к месту хранения данных быть удовлетворены с помощью облачных средств управления — управление ключами шифрования, географическая маршрутизация данных, договорные условия обработки данных — вместо поддержания пограничного компонента, обращенного в интернет, который стал задокументированной целью атак.
Что администраторам следует сделать сейчас
Инструкции Progress требуют ручных действий в дополнение к блокировке облачного доступа, которую компания уже выполнила. Шаги следующие:
Немедленно отключите сервер Windows, на котором работают контроллеры зон хранения — согласно рекомендациям Progress, отключения только облачного доступа недостаточно.
Рассматривайте любой доступный из интернета контроллер как потенциально скомпрометированный. Сервер, который был выключен без предварительной проверки, нельзя считать чистым; чистый с виду сервер не является доказательством чистой системы, как показали предыдущие атаки с использованием ASPX-оболочек на этот продукт. Когда Progress даст отбой, проведите повторную проверку перед перезапуском.
Сохраните криминалистические доказательства сейчас. До любого устранения или восстановления захватите системные журналы, журналы приложений и журналы веб-сервера с контроллера. Проверьте недавнюю административную активность на контроллере зоны хранения. Проверьте веб-каталоги на наличие незнакомых файлов .aspx. Задокументируйте текущие конфигурации для поддержки восстановления.
Подтвердите версию программного обеспечения. Организации на StorageCenter 5.x должны убедиться, что они используют версию 5.12.4 или новее, которая устраняет апрельские CVE 2026 года — хотя Progress не заявлял, что текущий статус установки патчей устраняет угрозу июля 2026 года. Организации на ветке 6.x не были затронуты апрельскими CVE.
Следите за страницей статуса ShareFile от Progress и официальными сообщениями. Компания обязалась предоставлять обновления в течение 24 часов после уведомления от 10 июля.
Затронуты ли облачные учетные записи ShareFile отключением в июле 2026 года?
Нет. Progress подтвердил, что облачные учетные записи ShareFile не затронуты этим инцидентом. Предписание об отключении применяется исключительно к организациям, использующим локальные контроллеры зон хранения — гибридный компонент, который позволяет компаниям хранить файлы на собственной инфраструктуре, используя облако ShareFile для управления. Если ваша организация использует ShareFile без контроллера зоны хранения, ваш сервис не должен быть нарушен.
Что такое контроллер зоны хранения и почему его нужно отключить, а не установить патч?
Контроллер зоны хранения — это сервер Windows, работающий на .NET, который организации развертывают на своей собственной инфраструктуре, когда им нужно хранить файлы вне облака Progress — обычно для соблюдения нормативных требований к месту хранения данных в здравоохранении, финансах или юридическом секторе. Он находится на сетевом периметре, доступен из интернета. Решение Progress отдать приказ о полном отключении, а не выпустить патч, сигнализирует о том, что на момент выдачи предписания не было доступно никакого средства устранения — стандартная реакция вендора на угрозу с доступным патчем — «примените это обновление», а не «выключите питание». Является ли основная проблема новой уязвимостью нулевого дня, проблемой в собственной инфраструктуре Progress или чем-то еще, не раскрыто.
Как это связано с апрельскими CVE 2026 года в том же продукте?
В апреле 2026 года watchTowr Labs раскрыла две связываемые уязвимости в ветке 5.x контроллера зоны хранения — CVE-2026-2699 (обход аутентификации, позволяющий неаутентифицированным атакующим получить доступ к страницам администрирования) и CVE-2026-2701, которая в сочетании с первой позволяла полностью удаленно выполнять код без учетных данных. Progress исправил обе уязвимости в версии 5.12.4 в марте 2026 года. Инцидент в июле 2026 года является отдельным: Progress не связывал текущую угрозу с этими CVE, и ни одна из апрельских уязвимостей не была зафиксирована как эксплуатируемая до июльской чрезвычайной ситуации. Администраторы, использующие версию 5.12.4 или новее, все равно должны следовать предписанию об отключении — текущий статус установки патчей не означает, что текущая угроза устранена.
Стоит ли организациям пересмотреть локальные развертывания передачи файлов с учетом этой схемы?
Это третья чрезвычайная ситуация, затрагивающая конкретно компонент контроллера зоны хранения за три года, после эксплуатации CVE-2023-24489 в 2023 году и раскрытия критических CVE в апреле 2026 года. Компонент существует специально для того, чтобы позволить организациям хранить файлы вне облака — но он делает это, размещая веб-сервер .NET, доступный из интернета, непосредственно на сетевом периметре. Исследователи безопасности задокументировали, что доступные из интернета компоненты управляемой передачи файлов являются приоритетной целью для финансово мотивированных групп вымогателей, отчасти потому, что одна скомпрометированная платформа может дать конфиденциальные данные нескольких организаций одновременно. Организации, использующие локальное хранение по причинам соответствия требованиям, должны оценить, могут ли облачные альтернативы — управление ключами шифрования, удерживаемое клиентом, договорные средства контроля маршрутизации данных, обеспечение географического места хранения данных на уровне SaaS — удовлетворить те же нормативные требования без задокументированной подверженности риску.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Kyle Belmonte




