Progress vertelt ShareFile-klanten dat ze opslagzonecontrollers moeten afsluiten vanwege beveiligingsbedreigingen

Progress Software heeft ShareFile-klanten opgedragen de Windows-servers waarop hun Storage Zone Controllers draaien af ​​te sluiten, wat bevestigt dat dit het geval is Het hackernieuws dat het reageert op een ‘geloofwaardige externe veiligheidsdreiging’.

Het bedrijf heeft de toegang tot de getroffen accounts tijdelijk uitgeschakeld, een stap die het naar eigen zeggen “uit grote voorzichtigheid” heeft genomen terwijl het samenwerkt met interne en externe beveiligingsexperts.

Het bedrijf zegt geen indicatie te hebben van ongeoorloofde toegang tot ShareFile-accounts of gegevens, en dat het klanten op de hoogte heeft gesteld nadat het van de bedreiging had kennisgenomen.

Wat Progress niet heeft gezegd, is wat de dreiging is en wie er achter zit.

Het bevel werd openbaar toen een klant op 10 juli de e-mail van het bedrijf op Reddit’s r/sysadmin plaatste. Progress bevestigde de verstoring op de statuspagina, waarbij klanten van Storage Zone Controller werden vermeld als “niet operationeel” en het incident werd onderzocht als een update van 12:12 uur EDT.

Alleen de Storage Zone Controller wordt getroffen, niet de standaard ShareFile-accounts in de cloud. De controller is een server die een bedrijf zelf beheert, zodat bestanden op de eigen opslag kunnen blijven staan ​​terwijl het nog steeds de cloud van ShareFile gebruikt om ze te delen en te beheren.

De controller bevindt zich meestal aan de rand van het netwerk en is bereikbaar via internet. Die bekendheid maakt het zowel nuttig als een doelwit. Klanten opdracht geven om het volledig offline te halen, in plaats van het alleen maar te patchen, is een opmerkelijke stap.

Die keuze is op zichzelf al een teken. Als er een oplossing voor deze bedreiging bestond, zou Progress klanten vertellen deze toe te passen; het shutdown-bevel suggereert dat er nog geen is. Dat betekent meestal een pas gevonden fout die het bedrijf zo snel mogelijk probeert te dichten, hoewel dezelfde stap ook zou passen bij een bedreiging die een patch niet kan verhelpen, zoals gestolen sleutels of een probleem aan de kant van Progress.

De verklaring dat er geen toegang is verkregen tot accounts of gegevens is ook zorgvuldig geformuleerd en sluit problemen voor de controleurs zelf niet uit.

Wat nu te doen

  1. Volg eerst de uitschakelopdracht. Houd de getroffen controllers offline totdat Progress zegt wat de dreiging is en wanneer het veilig is om opnieuw op te starten.
  2. Controleer afzonderlijk of uw versie actueel is: 5.12.4 of hoger op de 5.x-lijn, of een 6.x-release. Daarmee zijn de tekortkomingen die eerder dit jaar zijn opgelost verholpen, maar Progress heeft niet gezegd dat het de huidige dreiging wegneemt, dus beschouw het niet als toestemming om opnieuw op te starten.
  3. Als een verwerkingsverantwoordelijke via internet bereikbaar is, behandel dit dan als een mogelijk incident. Bewaar de logboeken en start uw incidentresponsproces. Controleer vervolgens op onbekende .aspx-bestanden in de webmappen en opslagpaden die u niet hebt ingesteld. Een schoon ogende server is geen bewijs dat deze schoon is.

ShareFile heeft dit eerder meegemaakt. In 2023, toen het product nog eigendom was van Citrix, maakten aanvallers misbruik van een niet-geverifieerde fout in dezelfde Storage Zones Controller (CVE-2023-24489).

CISA markeerde het als actief geëxploiteerd, en Citrix heeft niet-gepatchte controllers afgesloten van de ShareFile-cloud, dezelfde toegangsblokkering die Progress nu heeft opgelegd.

Progress, dat ShareFile in 2024 overnam, had zelf al een massale aanval op bestandsoverdracht doorstaan: MOVEit, waarvan de zero-day van 2023 werd uitgebuit door de Clop-groep en meer dan 2.700 organisaties trof.

De Storage Zones Controller had ook twee kritieke tekortkomingen die watchTowr in april onthulde en die Progress in maart herstelde, hoewel het bedrijf de huidige dreiging niet aan deze tekortkomingen heeft gekoppeld, en van geen van beide is gemeld dat er misbruik van wordt gemaakt.

De centrale vraag is nog steeds onbeantwoord: Progress heeft deze systemen offline gehaald en werkt samen met externe experts, maar heeft niet gezegd wat de dreiging is of wanneer klanten ze veilig weer online kunnen brengen.

Thijs Van der Does