
Progress Software ha dicho a los clientes de ShareFile que apaguen los servidores de Windows que ejecutan controladores de zonas de almacenamiento, confirmando a The Hacker News que la empresa está respondiendo a una «amenaza de seguridad externa creíble».
La empresa ha desactivado temporalmente el acceso a las cuentas afectadas. La compañía dijo que estaba tomando esta acción «por precaución» en colaboración con expertos en seguridad internos y externos.
La compañía dijo que no había indicios de acceso no autorizado a cuentas o datos de ShareFile y que notificó a los clientes después de enterarse de la amenaza.
Progress no ha dicho cuál es la amenaza ni quién está detrás de ella.
El pedido se hizo público cuando un cliente publicó el correo electrónico de la empresa en r/sysadmin en Reddit. 10 de julio. Progress confirmó la interrupción en su página de estado, enumerando al cliente de Storage Zones Controller como «inoperable» y afirmando que el incidente estaba bajo investigación en una actualización a las 12:12 p.m. hora del Este.
Sólo los controladores de zonas de almacenamiento se ven afectados; Las cuentas estándar de ShareFile solo en la nube no se ven afectadas. Los controladores son servidores que las empresas ejecutan por sí mismas, por lo que pueden almacenar archivos en su propio almacenamiento y al mismo tiempo utilizar la nube de ShareFile para compartir y administrar archivos.
Los controladores suelen estar ubicados en el borde de la red, a los que se puede acceder desde Internet. Esa exposición lo convierte en útil y en un objetivo. Ordenar a los clientes que se desconecten completamente, en lugar de simplemente aplicar un parche, es un paso notable.

Esa elección en sí misma es una directiva. Si existe una solución para esta amenaza, Progress indicará a los clientes que la apliquen. Las órdenes de cierre sugieren que todavía no hay nada. Por lo general, esto significa una falla recién descubierta que la empresa se apresura a resolver, pero los mismos pasos podrían aplicarse a amenazas que no se pueden abordar con un parche, como el robo de claves o problemas con el propio Progress.
La afirmación de que no se accedió a cuentas ni datos también es una declaración de precaución y no excluye la posibilidad de que haya un problema con el propio controlador.
que hacer ahora
Siga primero la orden de apagado. Mantenga el controlador afectado fuera de línea hasta que Progress determine la amenaza y cuándo sea seguro reiniciarlo. Por separado, asegúrese de que la versión sea la más reciente. 5.12.4 o posterior en la línea 5.x, o una versión 6.x. Aunque esto elimina una falla que se solucionó a principios de este año, Progress no afirma que esto elimine la amenaza actual, así que no trate esto como un permiso para reabrir. Si se puede acceder al controlador desde Internet, trátelo como un posible incidente. Guarde sus registros, inicie el proceso de respuesta a incidentes y luego revise sus carpetas web y rutas de almacenamiento no configuradas en busca de archivos .aspx desconocidos. El hecho de que un servidor parezca limpio no significa que lo esté.
ShareFile se ha enfrentado a este problema antes. En 2023, cuando el producto todavía pertenecía a Citrix, los atacantes explotaron la misma falla no autenticada del controlador de zonas de almacenamiento (CVE-2023-24489).
CISA marcó esto como explotado activamente y Citrix eliminó el controlador sin parches de la nube ShareFile. Este es el mismo bloqueo de acceso que impone actualmente Progreso.
Progress, que adquirió ShareFile en 2024, ya había sobrevivido a su propio ataque de transferencia masiva de archivos, MOVEit. El ataque de día cero de MOVEit de 2023 fue explotado por el grupo Clop y afectó a más de 2.700 organizaciones.
Storage Zones Controller también tenía dos fallas críticas que watchTowr reveló en abril y Progress parchó en marzo, pero la compañía no las ha vinculado a ninguna amenaza actual y no se ha informado que ninguna haya sido explotada.
Las preguntas centrales siguen sin respuesta. Progress ha desconectado estos sistemas y está trabajando con expertos externos, pero no ha dicho cuál es la amenaza ni cuándo será seguro para los clientes volver a ponerlos en línea.
Source link
