Nowe luki w Progress ShareFile umożliwiają pre-auth exploit chain prowadzący do RCE

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

W produkcie Progress ShareFile wykryto dwa błędy bezpieczeństwa, które po połączeniu umożliwiają przeprowadzenie nieautoryzowanego ataku jeszcze przed uwierzytelnieniem użytkownika. Problem dotyczy komponentu Storage Zones Controller, wykorzystywanego do zarządzania przechowywaniem danych w środowiskach lokalnych i hybrydowych.

Połączenie obejścia uwierzytelniania z możliwością zdalnego wykonania kodu oznacza scenariusz wysokiego ryzyka. Dla organizacji korzystających z ShareFile do wymiany dokumentów i współpracy nad plikami oznacza to potencjalną kompromitację serwera bez potrzeby posiadania legalnych danych logowania.

W skrócie

W ShareFile zidentyfikowano podatności CVE-2026-2699 oraz CVE-2026-2701. Pierwsza pozwala ominąć mechanizmy uwierzytelniania w panelu administracyjnym, a druga prowadzi do zdalnego wykonania kodu na serwerze.

Scenariusz ataku zakłada uzyskanie dostępu do interfejsu administracyjnego, zmianę konfiguracji Storage Zone, a następnie wykorzystanie funkcji przesyłania i rozpakowywania plików do umieszczenia złośliwego webshella ASPX w katalogu aplikacji. Producent usunął problem w wersji 5.12.4, wydanej 10 marca 2026 roku.

Atak nie wymaga wcześniejszego logowania.
Łańcuch błędów może prowadzić do pełnego przejęcia serwera.
Najbardziej narażone są instancje wystawione bezpośrednio do Internetu.

Kontekst / historia

Progress ShareFile to rozwiązanie klasy enterprise służące do bezpiecznego udostępniania plików i współpracy nad dokumentami. Tego rodzaju platformy od lat znajdują się w centrum zainteresowania cyberprzestępców, ponieważ często przechowują wrażliwe dane biznesowe i są dostępne z sieci publicznej dla partnerów, klientów oraz pracowników zdalnych.

Nowe luki zostały odkryte przez badaczy bezpieczeństwa i zgłoszone producentowi w ramach odpowiedzialnego ujawnienia. Problem dotyczy gałęzi 5.x komponentu Storage Zones Controller. Choć w chwili ujawnienia nie było jeszcze publicznie potwierdzonych przypadków aktywnego wykorzystania, opublikowane szczegóły techniczne znacząco skracają czas potrzebny do przygotowania działających exploitów.

Analiza techniczna

Łańcuch ataku rozpoczyna się od CVE-2026-2699, która wynika z nieprawidłowej obsługi przekierowań HTTP. W praktyce pozwala to ominąć proces logowania i uzyskać dostęp do panelu administracyjnego bez prawidłowych poświadczeń.

Po wejściu do interfejsu administracyjnego napastnik może modyfikować ustawienia Storage Zone, w tym ścieżki przechowywania danych, hasła strefowe oraz inne wartości wykorzystywane przez aplikację. Ten etap przygotowuje środowisko pod wykorzystanie drugiej podatności.

CVE-2026-2701 umożliwia zdalne wykonanie kodu poprzez nadużycie mechanizmu uploadu i ekstrakcji plików. Według analiz technicznych atakujący może doprowadzić do zapisania złośliwego pliku ASPX w katalogu webroot, co w praktyce daje mu webshell i trwały dostęp do serwera.

Badacze zwracają uwagę, że skuteczny exploit wymaga wygenerowania prawidłowych podpisów HMAC oraz pozyskania określonych sekretów wewnętrznych. Jednak po wykorzystaniu obejścia uwierzytelniania napastnik może wpływać na parametry bezpieczeństwa i przygotować warunki potrzebne do praktycznego użycia drugiego błędu. W efekcie mamy do czynienia z klasycznym exploit chain: dostęp bez logowania, manipulacja konfiguracją i finalnie wykonanie kodu na serwerze aplikacyjnym.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest możliwość przejęcia serwera ShareFile bez konieczności wcześniejszego uwierzytelnienia. W środowisku produkcyjnym może to oznaczać kradzież dokumentów, wdrożenie mechanizmów persistence, instalację narzędzi do dalszej eksploatacji lub wykorzystanie hosta jako punktu wejścia do kolejnych segmentów sieci.

Ryzyko rośnie szczególnie wtedy, gdy Storage Zones Controller jest publicznie dostępny z Internetu. Tego typu systemy są atrakcyjnym celem dla operatorów ransomware oraz grup prowadzących masowe skanowanie usług brzegowych.

Skutki nie muszą ograniczać się do jednego serwera. Jeśli ShareFile jest zintegrowany z magazynami danych, usługami katalogowymi, backupem lub innymi zasobami plikowymi, kompromitacja kontrolera strefy może otworzyć drogę do szerszego naruszenia poufności, integralności i dostępności danych.

Rekomendacje

Organizacje korzystające z Progress ShareFile powinny w pierwszej kolejności sprawdzić, czy używają podatnej gałęzi 5.x komponentu Storage Zones Controller, a następnie niezwłocznie zaktualizować system do wersji 5.12.4 lub nowszej.

Ograniczyć dostęp do panelu administracyjnego wyłącznie do zaufanych adresów IP lub przez VPN.
Zweryfikować, czy instancja nie jest niepotrzebnie wystawiona bezpośrednio do Internetu.
Przeanalizować logi aplikacyjne, IIS i systemowe pod kątem nietypowych zmian konfiguracji oraz prób dostępu do panelu administracyjnego.
Skontrolować katalog webroot i lokalizacje tymczasowe pod kątem nieautoryzowanych plików ASPX, archiwów i śladów nadużycia funkcji ekstrakcji.
Sprawdzić integralność ustawień Storage Zone, w tym ścieżek, passphrase, sekretów i parametrów bezpieczeństwa.
Uruchomić działania threat hunting w celu wykrycia dalszych aktywności, takich jak tworzenie nowych kont, wykonywanie poleceń przez IIS czy nietypowa komunikacja wychodząca.

Jeżeli istnieje podejrzenie kompromitacji, samo wdrożenie poprawki nie powinno być traktowane jako wystarczające. Konieczne może być pełne dochodzenie powłamaniowe, rotacja sekretów oraz ocena, czy nie doszło do eksfiltracji danych.

Podsumowanie

Podatności CVE-2026-2699 i CVE-2026-2701 w Progress ShareFile pokazują, jak groźne są łańcuchy błędów łączące obejście uwierzytelniania z wykonaniem zdalnego kodu. Dla organizacji używających Storage Zones Controller oznacza to wysokie ryzyko przejęcia usługi i dostępu do dokumentów bez logowania.

Najważniejsze działania po stronie obrońców to szybka aktualizacja, ograniczenie ekspozycji systemu, przegląd logów oraz kontrola integralności środowiska. W realiach współczesnych kampanii ransomware takie podatności mogą bardzo szybko stać się celem zautomatyzowanych ataków.

Źródła

New Progress ShareFile flaws can be chained in pre-auth RCE attacks — https://www.bleepingcomputer.com/news/security/new-progress-sharefile-flaws-can-be-chained-in-pre-auth-rce-attacks/
Progress ShareFile Storage Zones Controller security update information — https://www.progress.com/
watchTowr Labs technical analysis of the ShareFile exploit chain — https://labs.watchtowr.com/
Shadowserver public exposure data for ShareFile — https://dashboard.shadowserver.org/