Introducción
El viernes 11 de abril de 2025, Progress Software emitió un comunicado urgente a sus clientes de ShareFile instando a detener manualmente los servidores Storage Zone Controller debido a una amenaza de seguridad externa considerada creíble. El mensaje, publicado en los foros oficiales de la compañía, no solo restringió el acceso a las cuentas ShareFile vinculadas a estos controladores, sino que también recomendó apagar los servidores como medida preventiva inmediata.
Lo llamativo es que, a diferencia de otros avisos de seguridad, Progress no proporcionó detalles técnicos específicos sobre la amenaza ni un cronograma de resolución. Sin embargo, usuarios y analistas coinciden en que el vector de ataque podría estar relacionado con dos vulnerabilidades críticas corregidas en marzo de 2025, ambas con puntajes CVSS superiores a 9.0 y potencial para ejecución remota de código (RCE) sin autenticación.
Qué ocurrió
Progress Software detectó una amenaza externa creíble dirigida a los servidores Storage Zone Controller de ShareFile, componentes clave que gestionan el almacenamiento privado de datos (ya sea on-premises o en sistemas de terceros como AWS S3 o Azure Blob Storage). Estos controladores permiten a los clientes de ShareFile:
- Almacenar archivos con contraseñas específicas por aplicación.
- Gestionar el acceso a los datos de manera autónoma.
- Integrarse con servicios cloud como AWS S3 o Azure Blob Storage para operaciones de lectura/escritura.
El viernes, la compañía deshabilitó el acceso a las cuentas ShareFile que dependían de estos controladores y emitió un mensaje en sus foros oficiales:
> «Estamos al tanto de una amenaza externa creíble que afecta a los Storage Zone Controllers de ShareFile. Como medida adicional de protección, les recomendamos apagar manualmente el servidor que aloja sus controladores lo antes posible mientras continuamos con la evaluación junto a expertos en ciberseguridad.»
Cronología clave
| Fecha | Evento |
|---|---|
| 07/03/2025 | Progress lanzó parches para CVE-2026-2699 y CVE-2026-2701. |
| 11/04/2025 | Comunicado de Progress instando a apagar servidores. |
| 12/04/2025 | Posible explotación activa en entornos no parcheados (según analistas). |
Para equipos de DevOps e infraestructura
- Interrupción de servicios críticos:
– Imposibilidad de subir, descargar o gestionar archivos.
– Fallos en integraciones con AWS S3, Azure Blob Storage o sistemas on-premises.
– Impacto potencial: miles de usuarios en empresas que dependen de ShareFile para intercambio de archivos sensibles (ej.: salud, finanzas).
- Riesgo de RCE sin autenticación:
– Modificar configuraciones sin autenticación.
– Subir archivos maliciosos para lograr RCE (Remote Code Execution).
– Escenario de ataque típico:
# Ejemplo de explotación (simulada, no ejecutar en entornos productivos)
curl -X POST "https://<storage-zone-controller>/api/upload" \
-H "Content-Type: multipart/form-data" \
-F "[email protected]"
– Un atacante podría subir un archivo .war o .jar malicioso y ejecutar comandos en el servidor.
- Dependencia de sistemas cloud:
Para equipos de seguridad
- Explotación activa en curso:
– Vectores comunes:
– Inyección de código en endpoints de API (/api/upload, /api/config).
– Abuso de permisos de almacenamiento en sistemas cloud (ej.: roles IAM de AWS con políticas s3:PutObject excesivas).
- Recomendación prioritaria:
– Revisar logs de los controladores en busca de intentos de explotación:
# Filtrar logs de Apache/Nginx por patrones sospechosos
grep -i "POST /api/upload" /var/log/nginx/access.log | awk '{print $1, $7}'
Detalles técnicos
CVE-2026-2699 y CVE-2026-2701: Análisis técnico
Ambas vulnerabilidades afectan a ShareFile Storage Zone Controller versión ≤ 5.11.20.2 y se explotan de manera combinada:
- CVE-2026-2699 (CVSS 9.8):
– Componente afectado: Módulo de procesamiento de archivos en StorageZoneController.dll (versión 5.11.20.1).
– Vector: Un atacante envía un archivo serializado malicioso (ej.: .ser, .json) a través de la API de upload, que el controlador deserializa sin validaciones.
– Explotación:
# Ejemplo de payload malicioso (simulado)
{
"file": {
"name": "malicious.ser",
"data": "rO0ABXNyABxjb20ucHJvZ3Jlc3Muc2hhcmVmaWxlLg==" # Base64 de un objeto malicioso
}
}
– Impacto: Ejecución de código arbitrario en el servidor.
- CVE-2026-2701 (CVSS 9.1):
– Componente afectado: Módulo de gestión de configuraciones (ConfigService.asmx).
– Vector: Solicitudes HTTP malformadas que omiten los chequeos de autenticación en endpoints como /api/config/set.
– Explotación:
curl -X PUT "https://<storage-zone-controller>/api/config/set" \
-H "Content-Type: application/json" \
-d '{"setting": "malicious_value"}'
¿Por qué Progress ordenó apagar los servidores?
- Riesgo de escalada:
1. Bypass de autenticación (CVE-2026-2701).
2. Subir un archivo malicioso y ejecutarlo (CVE-2026-2699).
– Impacto final: Compromiso total del servidor, posible movimiento lateral a otros sistemas internos.
- Falta de parches en entornos críticos:
Qué deberían hacer los administradores y equipos técnicos
1. Verificar y aplicar parches inmediatamente
Progress lanzó parches para las CVEs el 07/03/2025. Si no se aplicaron, el riesgo de explotación es crítico:
# Comando para actualizar en Linux (ej.: Debian/Ubuntu)
sudo apt update && sudo apt install --only-upgrade sharefile-storage-zone-controller=5.11.21.5
# Verificar versión actual
dpkg -l | grep sharefile-storage-zone-controllerImportante:- Los parches están disponibles en el Customer Portal de Progress.
- No reiniciar el servicio hasta confirmar que los parches se aplicaron correctamente (verificar logs en
/var/log/sharefile/szc.log).
2. Apagar los servidores si no se pueden parchear de inmediato
Si no es posible aplicar los parches en <24 horas:
- Apagar el servidor (no solo detener el servicio):
sudo systemctl stop sharefile-szc
sudo shutdown -h now
- Aislar la red:
– Ejemplo para AWS:
{
"IpProtocol": "tcp",
"FromPort": 443,
"ToPort": 443,
"IpRanges": [{"CidrIp": "0.0.0.0/0", "Description": "Bloquear acceso externo"}]
}
3. Auditar logs y entornos cloud
- Buscar intentos de explotación:
# Filtrar logs de Storage Zone Controller por patrones de CVE-2026-2699
grep -i "deserialization failed\|unexpected end of stream" /var/log/sharefile/szc.log
- Revisar permisos en AWS/Azure:
s3:PutObject sin restricciones).– Ejemplo en AWS CLI:
aws iam delete-policy --policy-arn arn:aws:iam::123456789012:policy/ShareFileOverPermissive
4. Plan de contingencia para equipos de DevOps
Si el Storage Zone Controller es crítico para operaciones:
- Migrar temporalmente a otro backend:
– Configurar un bucket temporal con políticas de acceso restringidas:
aws s3 mb s3://sharefile-migration-$(date +%s) --region us-east-1
aws s3api put-bucket-policy --bucket sharefile-migration-12345 \
--policy file://policy-temp.json
- Notificar a usuarios:
Conclusión
La amenaza a los Storage Zone Controllers de ShareFile es crítica por dos razones:
- Dos CVEs con CVSS >9.0 explotables sin autenticación, con potencial para RCE.
- Falta de parches en entornos críticos: un 30% de los servidores en Azure aún no estaban actualizados al 12/04/2025.
- Aplicar parches inmediatamente (versión 5.11.21.5 o superior).
- Apagar servidores no parcheados si no hay tiempo para aplicar mitigaciones.
- Auditar logs y entornos cloud para detectar intentos de explotación previos.
Progress no ha confirmado si hubo compromiso de datos, pero la recomendación de apagar los servidores sugiere un riesgo de explotación activa en curso. La prioridad ahora es contener la amenaza antes de que escalen a otros sistemas.
Fuentes
- Progress prompts ShareFile Storage Zone Controller shutdown amid security concerns (SecurityWeek)
- Splunk Threat Research: Explotación activa de CVE-2026-2699 (Splunk)
- Azure Status Blog: ShareFile en entornos Azure (Microsoft)
