Комбинирана атака разкрива сериозен риск за корпоративни среди
Две критични уязвимости в Progress ShareFile могат да бъдат комбинирани в т.нар. exploit chain, позволяваща неоторизирано извличане на файлове и пълен контрол над системата.
Решението се използва широко от големи и средни организации за сигурен трансфер и сътрудничество, което го прави особено привлекателна цел за ransomware групи.
3ащо този тип платформи са приоритетна цел
Исторически подобни системи вече са били компрометирани при мащабни атаки, включително:
- MOVEit Transfer
- GoAnywhere MFT
- Accellion FTA
Общият модел е ясен – централизирани платформи, обработващи чувствителни данни, се превръщат в „златна мина“ за атакуващите.
Откритите уязвимости: достъп без вход и изпълнение на код
Изследователи от watchTowr идентифицират две ключови слабости в компонента Storage Zones Controller (SZC):
- CVE-2026-2699 – заобикаляне на автентикация
- CVE-2026-2701 – отдалечено изпълнение на код (RCE)
Комбинацията от двете създава пълен компромис на системата.
Как работи атаката на практика
Атаката преминава през няколко етапа:
1. Първоначален достъп (Authentication Bypass)
Чрез неправилна обработка на HTTP пренасочвания, атакуващият получава достъп до административния интерфейс.
2. Манипулация на конфигурацията
След влизане могат да се променят:
- Пътища за съхранение на файлове
- Криптографски параметри
- Passphrase и вътрешни тайни
3. Ескалация до RCE
Чрез уязвимостта CVE-2026-2701:
- Качване на зловредни файлове
- Инжектиране на ASPX webshell в webroot директорията
- Пълен контрол върху сървъра
Критичен детайл:
Необходимите HMAC подписи и вътрешни тайни могат да бъдат извлечени след първоначалния пробив, което прави атаката напълно реализуема.
Обхват на риска: хиляди изложени системи
Според анализите:
- Около 30 000 SZC инстанции са потенциално достъпни онлайн
- ShadowServer Foundation отчита поне 700 публично достъпни системи
- Основната концентрация е в САЩ и Европа
Това означава значителна повърхност за атака в корпоративния сектор.
Пачове и реакция на производителя
Уязвимостите са отстранени в:
- Progress ShareFile версия 5.12.4 (10 март)
Откриването и отговорното разкриване са извършени в периода:
- 6-13 февруари – докладване
- 18 февруари – потвърждение на exploit веригата
3ащо тази уязвимост е особено опасна
1. Няма нужда от автентикация
Атакуващите могат да започнат компромиса без валидни креденшъли.
2. Пълен контрол над данните
Комбинацията от достъп и RCE означава:
- Кражба на файлове
- Манипулация на съдържание
- Подготовка за ransomware атаки
3. Идеален вход за supply chain атаки
Компрометирана система може да се използва за атака към клиенти и партньори.
Препоръки към организациите
- Незабавно обновяване до версия 5.12.4 или по-нова
- Ограничаване на публичния достъп до SZC
- Мониторинг за необичайна активност
- Проверка за наличие на webshell файлове
- Ротация на криптографски ключове и тайни
Уязвимостите в Progress ShareFile демонстрират класически, но изключително ефективен сценарий – верижна атака, комбинираща bypass и RCE за пълен контрол.
Публичното разкриване на подобни exploit вериги почти винаги води до бърза експлоатация, което прави реакцията на организациите критично важна.
