Progress Software, ShareFile müşterilerine Storage Zone Controller'larını çalıştıran Windows sunucularını kapatmalarını söyledi. Şirket, The Hacker News'e yaptığı açıklamada, 'güvenilir bir dış güvenlik tehdidine' yanıt verdiğini doğruladı. Etkilenen hesaplara erişim geçici olarak devre dışı bırakıldı. Progress, bu adımı 'aşırı önlem' olarak nitelendirirken, iç ve dış güvenlik uzmanlarıyla birlikte çalıştığını belirtti.
Şirket, herhangi bir ShareFile hesabına veya verisine yetkisiz erişim olduğuna dair bir işaret bulunmadığını ve tehdidi öğrendikten sonra müşterileri bilgilendirdiğini söyledi. Ancak Progress'in açıklamadığı şey, tehdidin ne olduğu veya arkasında kimin olduğu. Talimat, bir müşterinin şirketin e-postasını 10 Temmuz'da Reddit'in r/sysadmin sayfasında paylaşmasıyla kamuoyuna duyuruldu. Progress, durum sayfasında kesintiyi doğruladı ve Storage Zone Controller müşterilerini 'çalışmıyor' olarak listeledi.
Yalnızca Storage Zone Controller etkilendi, standart bulut tabanlı ShareFile hesapları değil. Controller, bir şirketin kendi çalıştırdığı bir sunucudur; böylece dosyalar kendi depolamasında kalırken ShareFile'ın bulutunu kullanarak paylaşım ve yönetim yapılabilir. Controller genellikle ağın kenarında, internetten erişilebilir durumda bulunur. Bu durum onu hem kullanışlı hem de hedef haline getiriyor. Müşterilere yalnızca yama yapmalarını değil, sunucuyu tamamen kapatmalarını söylemek dikkate değer bir adım.
Sistem Güvenliği
Bu seçim başlı başına bir ipucu. Eğer bu tehdit için bir düzeltme olsaydı, Progress müşterilere onu uygulamalarını söylerdi; kapatma talimatı, henüz bir düzeltme olmadığını gösteriyor. Bu genellikle yeni keşfedilmiş bir açık anlamına gelir ve şirket bu açığı kapatmak için yarışıyor. Ancak aynı adım, çalınmış anahtarlar veya Progress'in kendi tarafındaki bir sorun gibi bir yamanın çözemeyeceği bir tehdit için de uygun olabilir. Hiçbir hesaba veya veriye erişilmediği yönündeki ifade de dikkatle seçilmiş ve controller'ların kendisinde bir sorun olmadığı anlamına gelmiyor.
Nasıl Önlem Alınmalı?
Ne yapmalısınız? Önce kapatma talimatına uyun. Progress, tehdidin ne olduğunu ve yeniden başlatmanın ne zaman güvenli olduğunu söyleyene kadar etkilenen controller'ları çevrimdışı tutun. Ayrıca sürümünüzün güncel olduğundan emin olun: 5.x hattında 5.12.4 veya sonrası ya da 6.x sürümü. Bu, bu yılın başlarında düzeltilen açıkları kapatır, ancak Progress mevcut tehdidi temizlediğini söylemediği için yeniden başlatma izni olarak değerlendirmeyin. Controller internetten erişilebilir durumdaysa, olası bir olay olarak ele alın. Günlükleri koruyun ve olay müdahale sürecinizi başlatın. Ardından web klasörlerinde ve sizin ayarlamadığınız depolama yollarında tanımadığınız .aspx dosyalarını kontrol edin. Temiz görünen bir sunucu, temiz olduğunun kanıtı değildir.
ShareFile daha önce de benzer bir durumla karşılaştı. 2023'te, ürün hâlâ Citrix'e aitken, saldırganlar aynı Storage Zones Controller'da kimlik doğrulaması gerektirmeyen bir açıktan (CVE-2023-24489) yararlandı. CISA, bunu aktif olarak istismar edildi olarak işaretledi ve Citrix, yamasız controller'ları ShareFile bulutundan kesti; Progress'in şimdi uyguladığı erişim engeliyle aynı. Progress, 2024'te ShareFile'ı satın aldı ve daha önce kendi kitlesel dosya aktarım saldırısını atlatmıştı: MOVEit, 2023'te Clop grubu tarafından istismar edilen ve 2.700'den fazla kuruluşu etkileyen bir sıfırıncı gün açığıydı.
Storage Zones Controller'da ayrıca Nisan ayında watchTowr tarafından ifşa edilen ve Progress'in Mart ayında yamaladığı iki kritik açık vardı. Ancak şirket mevcut tehdidi bunlarla ilişkilendirmedi ve hiçbiri istismar edildi olarak raporlanmadı. Ana soru hâlâ yanıtsız: Progress bu sistemleri çevrimdışına aldı ve dış uzmanlarla çalışıyor, ancak tehdidin ne olduğunu veya müşterilerin ne zaman güvenle geri getirebileceğini söylemedi.
Detaylar ve Etkileri
Güncelleme (14 Temmuz 2026): Progress, ShareFile Storage Zone Controller müşterileri için erişimi geri yükledi ve 10 Temmuz'da verdiği kapatma talimatını kaldırdı. The Hacker News'e yaptığı açıklamada şirket, soruşturmasının Storage Zone Controller'ın 5.x ve 6.x sürümlerini etkileyen yüksek önem dereceli bir güvenlik açığı tespit ettiğini söyledi. Müşterilere yamalı sürümler yayınlandı ve yama uygulandıktan sonra etkilenen controller'ın normale döndüğü belirtildi. Progress, herhangi bir ShareFile müşteri hesabına veya verisine yetkisiz erişim kanıtı bulunmadığını ve aktif bir tehdit tanımlamadığını söyledi. Bu, 10 Temmuz'daki 'güvenilir dış güvenlik tehdidinin' şirketin artık yamaladığı bir güvenlik açığı olduğunu ortaya koyuyor. Açıklama, tehdidin arkasında kimin olduğunu veya açık için bir CVE adı vermiyor.
Kaynak: thehackernews.com