Ευπάθειες στο Progress ShareFile: Κίνδυνοι και Αντιμετώπιση
Δύο σοβαρές ευπάθειες εντοπίστηκαν στο Progress ShareFile, την πλατφόρμα ασφαλούς μεταφοράς αρχείων που χρησιμοποιείται ευρέως από πολλές εταιρείες για τη συνεργασία και την κοινοποίηση εγγράφων. Αυτές οι ευπάθειες μπορούν να συνδεθούν και να οδηγήσουν σε εξαγωγή αρχείων χωρίς καμία ταυτοποίηση, καθιστώντας την πλατφόρμα ευάλωτη σε επιθέσεις τύπου ransomware και δεδομένων.
Η χρήση πλατφορμών όπως το Progress ShareFile αυξάνει συνεχώς, γεγονός που τις καθιστά περιζήτητους στόχους για κακόβουλους εισβολείς. Ιστορικά, παρόμοιες περιπτώσεις έχουν παρατηρηθεί με άλλες λύσεις, όπως οι επιθέσεις που εστίασαν σε σφάλματα στο Accellion FTA, SolarWinds Serv-U και GoAnywhere MFT.
Ανακάλυψη των Ευπαθειών
Οι ευπάθειες αυτές ανακαλύθηκαν από τους ερευνητές της εταιρείας watchTowr, οι οποίοι εντόπισαν:
- Το CVE-2026-2699, που σχετίζεται με την παράκαμψη ελέγχου ταυτότητας, επιτρέποντας την πρόσβαση στη διεπαφή διαχειριστή του ShareFile.
- Το CVE-2026-2701, το οποίο συνδέεται με την απομακρυσμένη εκτέλεση κώδικα (RCE), δίνοντας τη δυνατότητα στους εισβολείς να προσπάσουν κακόβουλα αρχεία στον διακομιστή.
Ο Storage Zones Controller (SZC) αποτελεί κεντρικό στοιχείο του Progress ShareFile, επιτρέποντας στους χρήστες να αποθηκεύουν δεδομένα είτε σε δικές τους υποδομές είτε σε τρίτους παρόχους cloud. Η αναβάθμιση του λογισμικού για την διόρθωση των ευπαθειών έγινε διαθέσιμη στις 10 Μαρτίου στην έκδοση 5.12.4.
Πώς Λειτουργεί η Επίθεση
Η επίθεση ξεκινά εκμεταλλευόμενη το CVE-2026-2699. Οι εισβολείς χρησιμοποιούν την αδυναμία στον χειρισμό των ανακατευθύνσεων HTTP για να αποκτήσουν πρόσβαση στη διεπαφή διαχειριστή του ShareFile. Αφού αποκτήσουν πρόσβαση:
- Μπορούν να τροποποιήσουν τις ρυθμίσεις διαμόρφωσης της Storage Zone, συμπεριλαμβανομένων ευαίσθητων παραμέτρων ασφαλείας.
- Χρησιμοποιώντας το CVE-2026-2701, οι εισβολείς έχουν τη δυνατότητα για απομακρυσμένη εκτέλεση κώδικα, τοποθετώντας κακόβουλα κώδικα στον διακομιστή.
Αυτό σημαίνει ότι, παρά την ανάγκη δημιουργίας έγκυρων υπογραφών HMAC για εκτέλεση του exploit, οι επιτιθέμενοι μπορούν να το κάνουν μέσω της εκμετάλλευσης του CVE-2026-2699, δίνοντάς τους τη δυνατότητα να ελέγχουν και να διαμορφώνουν ευαίσθητα δεδομένα.
Πηγή: WatchTowr
Επίδραση και Σημασία της Επείγουσας Διόρθωσης
Με βάση τις έρευνες του watchTowr, περίπου 30.000 εγκαταστάσεις του Storage Zone Controller είναι εκτεθειμένες στο δημόσιο δίκτυο. Συγκεκριμένα, οι αναφορές αναφέρουν περίπου 700 ευάλωτα συστήματα που είναι εκτεθειμένα, κυρίως στις Ηνωμένες Πολιτείες και στην Ευρώπη, όπως παρατηρεί το ShadowServer Foundation.
Η πρώτη αναφορά για τις ευπάθειες έγινε στο Progress μεταξύ 6 και 13 Φεβρουαρίου και η πλήρης εκμετάλλευση επιβεβαιώθηκε στις 18 Φεβρουαρίου. Παρά το γεγονός ότι δεν έχει παρατηρηθεί ενεργή εκμετάλλευση μέχρι στιγμής, οι εταιρείες που χρησιμοποιούν ευάλωτες εκδόσεις του ShareFile Storage Zone Controller πρέπει άμεσα να αναβαθμίσουν τα συστήματά τους, καθώς οι πληροφορίες για αυτά τα ελαττώματα είναι πλέον δημόσιες και ενδέχεται να οδηγήσουν σε επιθέσεις.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει την ύπαρξη ευπαθειών. Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνοντας πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για την αξιολόγηση εργαλείων.