Информационная безопасность корпоративного файлообмена вновь оказалась под прицелом. Исследователи из watchTowr Labs раскрыли цепочку критических уязвимостей в программном обеспечении Progress ShareFile Storage Zone Controller, позволяющую неавторизованным злоумышленникам удалённо выполнять произвольный код и полностью компрометировать целевые серверы. По оценкам экспертов, угрозе подвержены около 30 000 экземпляров системы, доступных из публичной сети интернет, что создаёт риск масштабных утечек данных для организаций по всему миру. Данный инцидент вновь подчеркивает, что решения для управляемой передачи файлов остаются одним из ключевых векторов атак для APT-групп и операторов программ-вымогателей, что наглядно демонстрируют исторические взломы с использованием уязвимостей в MOVEit, Cleo Harmony и GoAnywhere.
Детали уязвимостей
Обнаруженные недостатки представляют собой крайне привлекательную возможность для атакующих, стремящихся проникнуть в корпоративные сети и похитить конфиденциальную интеллектуальную собственность. В центре внимания оказался именно модуль Storage Zone Controller. Несмотря на то что Progress ShareFile предлагает популярную SaaS-платформу, многие предприятия используют локальный контроллер зон хранения для обеспечения суверенитета данных и соответствия регуляторным требованиям. Это программное обеспечение выполняет роль управляемого клиентом шлюза, позволяя организациям хранить файлы на локальных сетевых ресурсах или в приватных облачных хранилищах, продолжая использовать основной веб-интерфейс ShareFile. Новые уязвимости полностью сосредоточены в этой саморазмещаемой части системы.
Атака начинается с эксплуатации первой уязвимости, получившей идентификатор CVE-2026-2699. Она позволяет обойти процедуру аутентификации на панели конфигурации администратора. Когда неавторизованный пользователь обращается к защищённому эндпоинту, приложение выдаёт стандартный ответ с перенаправлением на страницу входа. Однако исследователи обнаружили критическую ошибку в базовом коде на C#: разработчики передали в функцию перенаправления неверный логический флаг. Этот специфический флаг указывает серверу не завершать выполнение страницы после отправки команды редиректа. Данный класс уязвимостей, известный как "выполнение после перенаправления", позволяет злоумышленнику перехватить HTTP-ответ, удалить заголовок с адресом перенаправления и загрузить полностью функциональную административную панель без необходимости ввода каких-либо учётных данных.
Получив права администратора, атакующий переходит к эксплуатации второй уязвимости, CVE-2026-2701, для достижения удалённого выполнения кода. Контроллер зоны хранения позволяет администраторам настраивать сетевое расположение для загрузки файлов пользователями. Хотя приложение проверяет, имеет ли оно права на чтение и запись по указанному пути, оно полностью игнорирует валидацию самого пути на предмет его легитимности и безопасности. Этим упущением можно воспользоваться, перенастроив целевой каталог хранения напрямую на публичную веб-директорию самого приложения. После такой модификации злоумышленник может загрузить вредоносную веб-оболочку, замаскированную под обычный файл. Обратившись к этому скрипту через браузер, атакующий получает полный несанкционированный удалённый контроль над сервером, что открывает путь к хищению данных, установке программ-вымогателей или движению по корпоративной сети.
С точки зрения защиты, данные уязвимости затрагивают исключительно ветку 5.x контроллера ShareFile Storage Zone Controller, построенную на ASP.NET. Исследователи из watchTowr Labs подтвердили их наличие в версии 5.12.3. Компания Progress исправила обе проблемы в обновлении 5.12.4, которое было тихо развернуто для клиентов 10 марта 2026 года. Таким образом, командам безопасности необходимо в срочном порядке обновить свои контроллеры зон хранения до версии 5.12.4 или более поздней. Кроме того, в качестве дополнительных мер защиты специалистам рекомендуется усилить мониторинг журналов веб-сервера на предмет аномальных запросов к эндпоинтам конфигурации, регулярно проверять веб-директорию на наличие неожиданных ASPX-файлов и, где это возможно, обеспечивать экранирование локальных файловых шлюзов за надёжными межсетевыми экранами, ограничивающими их доступность извне. В текущих условиях подобные превентивные меры становятся не просто рекомендацией, а строгой необходимостью для предотвращения катастрофических инцидентов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-2699
- https://www.cve.org/CVERecord?id=CVE-2026-2701
- https://docs.sharefile.com/en-us/storage-zones-controller/5-0/security-vulnerability-feb26
- https://labs.watchtowr.com/youre-not-supposed-to-sharefile-with-everyone-progress-sharefile-pre-auth-rce-chain-cve-2026-2699-cve-2026-2701/
