Progress Software разослала клиентам, использующим ShareFile Storage Zone Controllers, письмо с требованием немедленно остановить работу Windows-серверов, на которых установлен этот компонент. Формулировка в письме — «достоверная внешняя угроза безопасности» — именно так компания описала ситуацию журналистам The Hacker News, когда её попросили прокомментировать происходящее. Параллельно Progress временно заблокировала доступ к затронутым аккаунтам, назвав это решение мерой «из соображений повышенной осторожности».
Что известно точно: компания заявляет, что признаков несанкционированного доступа к аккаунтам или данным ShareFile не обнаружено. Клиентов предупредили сразу после того, как угрозу выявили, а к расследованию подключили и внутренних специалистов по безопасности, и сторонних экспертов. При этом Progress не раскрывает саму суть угрозы, не называет предполагаемых злоумышленников и не говорит, когда контроллеры можно будет безопасно вернуть в рабочий режим.
Наружу история вышла не через официальный пресс-релиз, а благодаря обычному пользователю: 10 июля кто-то из клиентов выложил письмо от Progress на Reddit, в сабреддите r/sysadmin. Только после этого компания подтвердила сбой через свою страницу статуса, где клиенты Storage Zone Controller получили пометку «не работает». По состоянию на обновление в 12:12 по восточному времени США инцидент оставался в статусе расследования.
Важная деталь, которую легко упустить: под удар попал не весь ShareFile, а конкретно Storage Zone Controller — компонент, который клиенты разворачивают на собственных серверах. Обычные облачные аккаунты ShareFile проблема не затрагивает. Storage Zone Controller существует именно для того, чтобы компании могли хранить файлы у себя, но пользоваться облачными функциями ShareFile для обмена и управления доступом. Из-за этой архитектуры контроллер, как правило, стоит на границе корпоративной сети и доступен из интернета — что делает его удобным инструментом и одновременно привлекательной мишенью.
Само требование полностью выключить серверы, а не просто установить патч, говорит о многом. Обычно производитель софта в такой ситуации либо ещё не нашёл исправление и пытается закрыть брешь, пока идёт расследование, либо столкнулся с проблемой, которую патчем не решить в принципе — например, если скомпрометированы ключи доступа или пострадала собственная инфраструктура Progress. Формулировка о том, что «данные не были доступны», звучит аккуратно и оставляет пространство для маневра: она не исключает, что проблема кроется в самих контроллерах, а не в облачной части сервиса.
Клиентам, у которых развёрнут Storage Zone Controller, разумно оставить серверы выключенными до тех пор, пока Progress не даст более внятных разъяснений насчёт характера угрозы и сроков безопасного перезапуска. Также стоит проверить версию софта — актуальными считаются 5.12.4 и более поздние релизы линейки 5.x, либо любой релиз линейки 6.x. Правда, это лишь закрывает уязвимости, обнаруженные ранее в 2024 году, и никак не гарантирует защиту от текущей угрозы, о которой Progress пока молчит.
Если контроллер был доступен из интернета, к ситуации стоит отнестись как к потенциальному инциденту безопасности: сохранить логи, запустить процедуру реагирования, проверить веб-папки на предмет незнакомых файлов с расширением.aspx и убедиться, что не появились неожиданные пути хранения данных. Внешне «чистый» сервер тут не аргумент — история показывает, что подобные компрометации нередко остаются незамеченными месяцами.
У ShareFile уже была похожая история. В 2023 году, когда продукт ещё принадлежал Citrix, была обнаружена уязвимость CVE-2023-24489 — неаутентифицированная брешь в той же Storage Zones Controller. CISA внесла её в список активно эксплуатируемых, и Citrix тогда отрезала непропатченные контроллеры от облака ShareFile — по сути, тот же тип блокировки доступа, который сейчас применила Progress.
В том же 2023 году сама Progress Software пережила куда более масштабный кризис — атаку через нулевой день в MOVEit, инструменте массовой передачи файлов. За атакой стояла группировка Clop, а число пострадавших организаций превысило 2700. ShareFile Progress приобрела позже, в 2024 году, так что формально это другой продукт под тем же корпоративным зонтиком.
Ещё одна страница истории связана с исследовательской компанией watchTowr, которая обнаружила две критические уязвимости в Storage Zones Controller. Progress закрыла их патчем в марте 2024 года, а публичное раскрытие деталей состоялось в апреле того же года. Ни одна из этих уязвимостей, по данным на текущий момент, не была отмечена как реально эксплуатируемая злоумышленниками, и Progress не связывает нынешний инцидент с этими старыми находками.
Главный вопрос по-прежнему без ответа: что именно произошло и когда клиентам можно будет спокойно включить серверы обратно. Progress отключила системы, привлекла внешних экспертов — но по существу пока не сказала ничего конкретного ни о природе угрозы, ни о сроках её устранения.
Что известно точно: компания заявляет, что признаков несанкционированного доступа к аккаунтам или данным ShareFile не обнаружено. Клиентов предупредили сразу после того, как угрозу выявили, а к расследованию подключили и внутренних специалистов по безопасности, и сторонних экспертов. При этом Progress не раскрывает саму суть угрозы, не называет предполагаемых злоумышленников и не говорит, когда контроллеры можно будет безопасно вернуть в рабочий режим.
Наружу история вышла не через официальный пресс-релиз, а благодаря обычному пользователю: 10 июля кто-то из клиентов выложил письмо от Progress на Reddit, в сабреддите r/sysadmin. Только после этого компания подтвердила сбой через свою страницу статуса, где клиенты Storage Zone Controller получили пометку «не работает». По состоянию на обновление в 12:12 по восточному времени США инцидент оставался в статусе расследования.
Важная деталь, которую легко упустить: под удар попал не весь ShareFile, а конкретно Storage Zone Controller — компонент, который клиенты разворачивают на собственных серверах. Обычные облачные аккаунты ShareFile проблема не затрагивает. Storage Zone Controller существует именно для того, чтобы компании могли хранить файлы у себя, но пользоваться облачными функциями ShareFile для обмена и управления доступом. Из-за этой архитектуры контроллер, как правило, стоит на границе корпоративной сети и доступен из интернета — что делает его удобным инструментом и одновременно привлекательной мишенью.
Само требование полностью выключить серверы, а не просто установить патч, говорит о многом. Обычно производитель софта в такой ситуации либо ещё не нашёл исправление и пытается закрыть брешь, пока идёт расследование, либо столкнулся с проблемой, которую патчем не решить в принципе — например, если скомпрометированы ключи доступа или пострадала собственная инфраструктура Progress. Формулировка о том, что «данные не были доступны», звучит аккуратно и оставляет пространство для маневра: она не исключает, что проблема кроется в самих контроллерах, а не в облачной части сервиса.
Клиентам, у которых развёрнут Storage Zone Controller, разумно оставить серверы выключенными до тех пор, пока Progress не даст более внятных разъяснений насчёт характера угрозы и сроков безопасного перезапуска. Также стоит проверить версию софта — актуальными считаются 5.12.4 и более поздние релизы линейки 5.x, либо любой релиз линейки 6.x. Правда, это лишь закрывает уязвимости, обнаруженные ранее в 2024 году, и никак не гарантирует защиту от текущей угрозы, о которой Progress пока молчит.
Если контроллер был доступен из интернета, к ситуации стоит отнестись как к потенциальному инциденту безопасности: сохранить логи, запустить процедуру реагирования, проверить веб-папки на предмет незнакомых файлов с расширением.aspx и убедиться, что не появились неожиданные пути хранения данных. Внешне «чистый» сервер тут не аргумент — история показывает, что подобные компрометации нередко остаются незамеченными месяцами.
У ShareFile уже была похожая история. В 2023 году, когда продукт ещё принадлежал Citrix, была обнаружена уязвимость CVE-2023-24489 — неаутентифицированная брешь в той же Storage Zones Controller. CISA внесла её в список активно эксплуатируемых, и Citrix тогда отрезала непропатченные контроллеры от облака ShareFile — по сути, тот же тип блокировки доступа, который сейчас применила Progress.
В том же 2023 году сама Progress Software пережила куда более масштабный кризис — атаку через нулевой день в MOVEit, инструменте массовой передачи файлов. За атакой стояла группировка Clop, а число пострадавших организаций превысило 2700. ShareFile Progress приобрела позже, в 2024 году, так что формально это другой продукт под тем же корпоративным зонтиком.
Ещё одна страница истории связана с исследовательской компанией watchTowr, которая обнаружила две критические уязвимости в Storage Zones Controller. Progress закрыла их патчем в марте 2024 года, а публичное раскрытие деталей состоялось в апреле того же года. Ни одна из этих уязвимостей, по данным на текущий момент, не была отмечена как реально эксплуатируемая злоумышленниками, и Progress не связывает нынешний инцидент с этими старыми находками.
Главный вопрос по-прежнему без ответа: что именно произошло и когда клиентам можно будет спокойно включить серверы обратно. Progress отключила системы, привлекла внешних экспертов — но по существу пока не сказала ничего конкретного ни о природе угрозы, ни о сроках её устранения.