Progress Software'den Acil Uyarı: ShareFile Storage Zone Controller Kapatılmalı Yazılım

Progress Software'den Acil Uyarı: ShareFile Storage Zone Controller Kapatılmalı

Progress Software, ShareFile Storage Zone Controller kullanıcılarına acil güvenlik tehdidi nedeniyle sunucuları kapatma talimatı verdi. Olayın detayla

Progress Software, ShareFile müşterilerine Storage Zone Controller çalıştıran Windows sunucularını derhal kapatmaları talimatını verdi. Şirket, The Hacker News'e yaptığı açıklamada 'güvenilir bir dış güvenlik tehdidi'ne yanıt verdiğini doğruladı. Etkilenen hesaplara geçici olarak erişimi engelleyen Progress, bu adımı 'aşırı tedbir' amacıyla attığını ve dahili ile harici güvenlik uzmanlarıyla birlikte çalıştığını belirtti. Şirket, herhangi bir ShareFile hesabına veya verisine yetkisiz erişim olduğuna dair bir bulgu olmadığını ve tehdidi öğrendikten sonra müşterileri bilgilendirdiğini ifade etti. Ancak tehdidin ne olduğu veya arkasında kimin olduğu konusunda henüz bir açıklama yapılmadı.

Kapatma emri, bir müşterinin şirketin e-postasını 10 Temmuz'da Reddit'in r/sysadmin forumunda paylaşmasıyla kamuoyuna duyuldu. Progress, durum sayfasında Storage Zone Controller müşterilerini 'çalışmıyor' olarak listeledi ve olayın saat 12:12 EDT güncellemesi itibarıyla soruşturma altında olduğunu belirtti. Sadece Storage Zone Controller etkilenirken, standart bulut tabanlı ShareFile hesapları etkilenmedi. Controller, şirketlerin kendi sunucularında çalıştırdığı ve dosyaları kendi depolama alanlarında tutarken ShareFile bulutunu yönetim ve paylaşım için kullanmalarına olanak tanıyan bir sistemdir.

Storage Zone Controller genellikle ağın kenarında, internetten erişilebilir bir konumda bulunur. Bu durum, onu hem kullanışlı hem de bir hedef haline getirir. Müşterilere yalnızca yama uygulamaları yerine tamamen çevrimdışı olmalarını söylemek dikkat çekici bir adımdır. Bu seçim, tehdit için bir düzeltme varsa Progress'in müşterilere bunu uygulamalarını söyleyeceği anlamına gelir; kapatma emri, henüz bir düzeltme olmadığını gösterir. Bu genellikle şirketin kapatmaya çalıştığı yeni keşfedilmiş bir güvenlik açığına işaret eder, ancak aynı adım, çalınan anahtarlar veya Progress'in kendi tarafındaki bir sorun gibi bir yamanın çözemeyeceği bir tehdit için de uygun olabilir.

Progress'in hiçbir hesaba veya veriye yetkisiz erişim olmadığı yönündeki ifadesi de dikkatle seçilmiş bir ifadedir ve controller'ların kendisinde bir sorun olmadığı anlamına gelmez. Kullanıcıların yapması gerekenler: Öncelikle kapatma emrine uyun ve Progress tehdidin ne olduğunu ve yeniden başlatmanın güvenli olduğunu söyleyene kadar etkilenen controller'ları çevrimdışı tutun. Ayrıca sürümünüzü güncelleyin: 5.x serisinde 5.12.4 veya üzeri, ya da 6.x sürümü. Bu, yılın başlarında düzeltilen güvenlik açıklarını kapatır, ancak Progress bunun mevcut tehdidi ortadan kaldırdığını söylemedi, bu nedenle yeniden başlatma izni olarak kabul etmeyin. Bir controller internete erişilebilir durumdaysa, olası bir olay olarak ele alın. Günlükleri koruyun ve olay müdahale sürecinizi başlatın, ardından web klasörlerinde ve sizin ayarlamadığınız depolama yollarında tanımadığınız .aspx dosyalarını kontrol edin. Temiz görünen bir sunucu, temiz olduğu anlamına gelmez.

ShareFile daha önce de benzer bir durumla karşılaştı. 2023 yılında, ürün hâlâ Citrix'e aitken, saldırganlar aynı Storage Zones Controller'da kimlik doğrulaması gerektirmeyen bir güvenlik açığından (CVE-2023-24489) yararlandı. CISA, bu açığın aktif olarak istismar edildiğini belirtirken, Citrix yamasız controller'ları ShareFile bulutundan kesti; Progress'in şimdi uyguladığı aynı erişim engeli. Progress, 2024 yılında ShareFile'ı satın aldı ve daha önce kendi kitlesel dosya aktarım saldırısını atlatmıştı: MOVEit, 2023'teki sıfır gün açığı Clop grubu tarafından istismar edilmiş ve 2.700'den fazla kuruluşu etkilemişti.

Nasıl Önlem Alınmalı?

Storage Zones Controller ayrıca Nisan ayında watchTowr tarafından ifşa edilen ve Progress'in Mart ayında yamaladığı iki kritik güvenlik açığına sahipti; ancak şirket mevcut tehdidi bunlarla ilişkilendirmedi ve hiçbirinin istismar edildiği bildirilmedi. Temel soru hâlâ yanıtsız: Progress bu sistemleri çevrimdışına aldı ve dış uzmanlarla çalışıyor, ancak tehdidin ne olduğunu veya müşterilerin ne zaman güvenle yeniden bağlanabileceğini söylemedi.

Güncelleme - 14 Temmuz 2026: Progress, ShareFile Storage Zone Controller müşterileri için erişimi geri yükledi ve 10 Temmuz'da verdiği kapatma emrini kaldırdı. The Hacker News'e yaptığı açıklamada şirket, soruşturmasının Storage Zone Controller'da 5.x ve 6.x sürümlerini etkileyen yüksek önem dereceli bir güvenlik açığı tespit ettiğini belirtti. Müşterilere yamalı sürümler gönderildi ve yama uygulandıktan sonra controller'ın normale döndüğü ifade edildi. Progress, herhangi bir ShareFile müşteri hesabına veya verisine yetkisiz erişim kanıtı bulunmadığını ve aktif bir tehdit tespit edilmediğini söyledi. Bu, 10 Temmuz emrinin arkasındaki 'güvenilir dış güvenlik tehdidi'nin şirketin artık yamaladığı bir güvenlik açığı olduğunu ortaya koyuyor. Açıklamada tehdidin arkasında kimin olduğu veya bir CVE numarası belirtilmedi.

Kaynak: thehackernews.com

Paylaş: