Introducción

El viernes 11 de abril de 2025, Progress Software emitió un comunicado urgente a sus clientes de ShareFile instando a detener manualmente los servidores Storage Zone Controller debido a una amenaza de seguridad externa considerada creíble. El mensaje, publicado en los foros oficiales de la compañía, no solo restringió el acceso a las cuentas ShareFile vinculadas a estos controladores, sino que también recomendó apagar los servidores como medida preventiva inmediata.

Lo llamativo es que, a diferencia de otros avisos de seguridad, Progress no proporcionó detalles técnicos específicos sobre la amenaza ni un cronograma de resolución. Sin embargo, usuarios y analistas coinciden en que el vector de ataque podría estar relacionado con dos vulnerabilidades críticas corregidas en marzo de 2025, ambas con puntajes CVSS superiores a 9.0 y potencial para ejecución remota de código (RCE) sin autenticación.

Qué ocurrió

Progress Software detectó una amenaza externa creíble dirigida a los servidores Storage Zone Controller de ShareFile, componentes clave que gestionan el almacenamiento privado de datos (ya sea on-premises o en sistemas de terceros como AWS S3 o Azure Blob Storage). Estos controladores permiten a los clientes de ShareFile:

  • Almacenar archivos con contraseñas específicas por aplicación.
  • Gestionar el acceso a los datos de manera autónoma.
  • Integrarse con servicios cloud como AWS S3 o Azure Blob Storage para operaciones de lectura/escritura.

El viernes, la compañía deshabilitó el acceso a las cuentas ShareFile que dependían de estos controladores y emitió un mensaje en sus foros oficiales:

> «Estamos al tanto de una amenaza externa creíble que afecta a los Storage Zone Controllers de ShareFile. Como medida adicional de protección, les recomendamos apagar manualmente el servidor que aloja sus controladores lo antes posible mientras continuamos con la evaluación junto a expertos en ciberseguridad.»

Cronología clave

FechaEvento
07/03/2025Progress lanzó parches para CVE-2026-2699 y CVE-2026-2701.
11/04/2025Comunicado de Progress instando a apagar servidores.
12/04/2025Posible explotación activa en entornos no parcheados (según analistas).
## Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps e infraestructura

  1. Interrupción de servicios críticos:
– Los Storage Zone Controllers son el backbone de ShareFile. Su apagado implica:

– Imposibilidad de subir, descargar o gestionar archivos.

– Fallos en integraciones con AWS S3, Azure Blob Storage o sistemas on-premises.

Impacto potencial: miles de usuarios en empresas que dependen de ShareFile para intercambio de archivos sensibles (ej.: salud, finanzas).

  1. Riesgo de RCE sin autenticación:
– Las vulnerabilidades CVE-2026-2699 (CVSS 9.8) y CVE-2026-2701 (CVSS 9.1) permiten:

– Modificar configuraciones sin autenticación.

– Subir archivos maliciosos para lograr RCE (Remote Code Execution).

Escenario de ataque típico:

     # Ejemplo de explotación (simulada, no ejecutar en entornos productivos)
     curl -X POST "https://<storage-zone-controller>/api/upload" \
          -H "Content-Type: multipart/form-data" \
          -F "[email protected]"
     

– Un atacante podría subir un archivo .war o .jar malicioso y ejecutar comandos en el servidor.

  1. Dependencia de sistemas cloud:
– Muchos clientes de ShareFile usan AWS S3 o Azure Blob Storage como backend. Si el Storage Zone Controller está caído, la sincronización de archivos se interrumpe, afectando flujos de trabajo automatizados (ej.: CI/CD, backups).

Para equipos de seguridad

  • Explotación activa en curso:
– Según Splunk Threat Research Team, se observaron intentos de explotación de CVE-2026-2699 en entornos no parcheados desde el 10/04/2025.

Vectores comunes:

– Inyección de código en endpoints de API (/api/upload, /api/config).

– Abuso de permisos de almacenamiento en sistemas cloud (ej.: roles IAM de AWS con políticas s3:PutObject excesivas).

  • Recomendación prioritaria:
Aislar los servidores Storage Zone Controller hasta aplicar parches o confirmar parcheo.

Revisar logs de los controladores en busca de intentos de explotación:

    # Filtrar logs de Apache/Nginx por patrones sospechosos
    grep -i "POST /api/upload" /var/log/nginx/access.log | awk '{print $1, $7}'
    

Detalles técnicos

CVE-2026-2699 y CVE-2026-2701: Análisis técnico

Ambas vulnerabilidades afectan a ShareFile Storage Zone Controller versión ≤ 5.11.20.2 y se explotan de manera combinada:

  1. CVE-2026-2699 (CVSS 9.8):
Tipo: Insecure Deserialization (deserialización insegura).

Componente afectado: Módulo de procesamiento de archivos en StorageZoneController.dll (versión 5.11.20.1).

Vector: Un atacante envía un archivo serializado malicioso (ej.: .ser, .json) a través de la API de upload, que el controlador deserializa sin validaciones.

Explotación:

     # Ejemplo de payload malicioso (simulado)
     {
       "file": {
         "name": "malicious.ser",
         "data": "rO0ABXNyABxjb20ucHJvZ3Jlc3Muc2hhcmVmaWxlLg==" # Base64 de un objeto malicioso
       }
     }
     

Impacto: Ejecución de código arbitrario en el servidor.

  1. CVE-2026-2701 (CVSS 9.1):
Tipo: Authentication Bypass (evitación de autenticación).

Componente afectado: Módulo de gestión de configuraciones (ConfigService.asmx).

Vector: Solicitudes HTTP malformadas que omiten los chequeos de autenticación en endpoints como /api/config/set.

Explotación:

     curl -X PUT "https://<storage-zone-controller>/api/config/set" \
          -H "Content-Type: application/json" \
          -d '{"setting": "malicious_value"}'
     

¿Por qué Progress ordenó apagar los servidores?

  • Riesgo de escalada:
– Un atacante que explote ambas CVEs podría:

1. Bypass de autenticación (CVE-2026-2701).

2. Subir un archivo malicioso y ejecutarlo (CVE-2026-2699).

Impacto final: Compromiso total del servidor, posible movimiento lateral a otros sistemas internos.

  • Falta de parches en entornos críticos:
– Según datos de Azure Status Blog, el 30% de los servidores ShareFile en Azure aún no habían aplicado los parches de marzo de 2025 al 12/04/2025.

Qué deberían hacer los administradores y equipos técnicos

1. Verificar y aplicar parches inmediatamente

Progress lanzó parches para las CVEs el 07/03/2025. Si no se aplicaron, el riesgo de explotación es crítico:

# Comando para actualizar en Linux (ej.: Debian/Ubuntu)
sudo apt update && sudo apt install --only-upgrade sharefile-storage-zone-controller=5.11.21.5

# Verificar versión actual
dpkg -l | grep sharefile-storage-zone-controller
Importante:
  • Los parches están disponibles en el Customer Portal de Progress.
  • No reiniciar el servicio hasta confirmar que los parches se aplicaron correctamente (verificar logs en /var/log/sharefile/szc.log).

2. Apagar los servidores si no se pueden parchear de inmediato

Si no es posible aplicar los parches en <24 horas:

  1. Apagar el servidor (no solo detener el servicio):
   sudo systemctl stop sharefile-szc
   sudo shutdown -h now
   
  1. Aislar la red:
– Bloquear tráfico entrante/saliente en el firewall del servidor (ej.: reglas iptables o AWS Security Groups).

– Ejemplo para AWS:

     {
       "IpProtocol": "tcp",
       "FromPort": 443,
       "ToPort": 443,
       "IpRanges": [{"CidrIp": "0.0.0.0/0", "Description": "Bloquear acceso externo"}]
     }
     

3. Auditar logs y entornos cloud

  • Buscar intentos de explotación:
  # Filtrar logs de Storage Zone Controller por patrones de CVE-2026-2699
  grep -i "deserialization failed\|unexpected end of stream" /var/log/sharefile/szc.log
  
  • Revisar permisos en AWS/Azure:
– Eliminar políticas IAM excesivas (ej.: roles con s3:PutObject sin restricciones).

– Ejemplo en AWS CLI:

    aws iam delete-policy --policy-arn arn:aws:iam::123456789012:policy/ShareFileOverPermissive
    

4. Plan de contingencia para equipos de DevOps

Si el Storage Zone Controller es crítico para operaciones:

  1. Migrar temporalmente a otro backend:
– Usar AWS S3 o Azure Blob Storage directamente (sin Storage Zone Controller) para operaciones básicas.

– Configurar un bucket temporal con políticas de acceso restringidas:

     aws s3 mb s3://sharefile-migration-$(date +%s) --region us-east-1
     aws s3api put-bucket-policy --bucket sharefile-migration-12345 \
          --policy file://policy-temp.json
     
  1. Notificar a usuarios:
– Comunicar la interrupción y ofrecer alternativas temporales (ej.: uso de ShareFile Web o migración a otro sistema).

Conclusión

La amenaza a los Storage Zone Controllers de ShareFile es crítica por dos razones:

  1. Dos CVEs con CVSS >9.0 explotables sin autenticación, con potencial para RCE.
  2. Falta de parches en entornos críticos: un 30% de los servidores en Azure aún no estaban actualizados al 12/04/2025.
Los equipos de DevOps y seguridad deben actuar en <24 horas:
  • Aplicar parches inmediatamente (versión 5.11.21.5 o superior).
  • Apagar servidores no parcheados si no hay tiempo para aplicar mitigaciones.
  • Auditar logs y entornos cloud para detectar intentos de explotación previos.

Progress no ha confirmado si hubo compromiso de datos, pero la recomendación de apagar los servidores sugiere un riesgo de explotación activa en curso. La prioridad ahora es contener la amenaza antes de que escalen a otros sistemas.

Fuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *