A Progress Software mandou clientes do ShareFile desligarem imediatamente os servidores que executam o Storage Zone Controller após identificar uma “ameaça externa crível”. O alerta afeta instalações com armazenamento controlado pelo cliente, não as contas apenas em nuvem. A empresa diz não ter evidências de acesso indevido, mas ainda investiga o caso.

Resumo

  • O desligamento foi comunicado em 10 de julho de 2026 e confirmado na página oficial de status do ShareFile.
  • O componente afetado mantém arquivos locais conectados ao serviço de compartilhamento e costuma ficar exposto à internet, segundo The Hacker News.
  • A recomendação é manter os servidores desligados, preservar registros e iniciar investigação interna antes de qualquer religamento.

O que aconteceu

A Progress informou aos clientes que os servidores Windows com o Storage Zone Controller deveriam ser desligados como medida crítica de proteção. A companhia também suspendeu temporariamente o acesso das contas afetadas por esse componente. O incidente apareceu publicamente depois que um cliente publicou o comunicado no Reddit, no fórum r/sysadmin, e foi confirmado pela empresa ao The Hacker News.

A página de status registra que os clientes com Storage Zone Controllers estavam indisponíveis e que o caso permanecia sob investigação em 10 de julho, às 12h12 no horário de verão do leste dos Estados Unidos. A própria atualização oficial pode ser consultada em ShareFile Status.

O ponto mais relevante é a natureza da ordem. A Progress não pediu apenas uma atualização; pediu que o servidor fosse retirado do ar. Isso indica que a empresa ainda não apresentou uma correção aplicável ao incidente específico, embora não permita concluir qual falha ou técnica está sendo usada. Essa leitura é uma análise do procedimento, não uma confirmação sobre a causa.

Quem está exposto

O Storage Zone Controller é instalado pela própria organização para manter dados em uma área de armazenamento sob seu controle, enquanto o ShareFile oferece recursos de acesso, sincronização e compartilhamento. Esse modelo cria uma ponte entre a infraestrutura local e o serviço em nuvem. A descrição técnica do produto e o alcance do incidente foram detalhados pelo The Hacker News.

O alerta não se aplica às contas que usam somente o ShareFile em nuvem, sem um controlador instalado no ambiente do cliente. A prioridade é localizar servidores com o nome Storage Zone Controller, confirmar se há exposição externa e verificar quais dados passam por eles. Inventário de ativos, registros de firewall e regras de publicação na internet são fontes práticas para essa triagem.

Não há confirmação pública de que dados tenham sido roubados. A Progress declarou que não tinha indicação de acesso não autorizado a contas ou informações do ShareFile, mas essa afirmação não equivale a uma perícia concluída nos servidores. Um controlador que parece funcionar normalmente também pode ter sido alterado; por isso, a investigação deve preservar evidências antes de reinstalar ou limpar o sistema.

As falhas anteriores

O produto já foi alvo de vulnerabilidades graves. Em fevereiro de 2026, a Progress publicou correções para o Storage Zones Controller 5.x contra as CVEs CVE-2026-2699 e CVE-2026-2701. A empresa recomendou a versão 5.12.4 ou qualquer versão 6.x, que não é afetada por essas duas falhas.

A base NVD classifica a CVE-2026-2699 com pontuação 9,8 e descreve uma situação em que um invasor não autenticado pode acessar páginas restritas de configuração, alterar parâmetros e potencialmente chegar à execução remota de código. A CVE-2026-2701 trata da execução de arquivo malicioso enviado ao servidor e recebeu pontuação 8,8 na métrica principal da NVD.

Essas duas vulnerabilidades não foram ligadas publicamente à ameaça de julho. A documentação da Progress afirma que não havia relatos de exploração quando publicou a correção, enquanto o alerta atual não informa CVE, versão vulnerável ou grupo responsável. Misturar os episódios seria um erro técnico: a existência de falhas corrigidas aumenta o risco histórico, mas não prova que elas sejam a causa do incidente presente.

O precedente pesa

Em 2023, um problema diferente no mesmo tipo de controlador permitiu comprometimento remoto sem autenticação. A CISA incluiu a CVE-2023-24489 em seu catálogo de vulnerabilidades exploradas, descrevendo risco de comprometimento remoto de controladores de armazenamento do ShareFile administrados pelo cliente.

O histórico explica por que uma instalação exposta deve ser tratada como ativo de alto valor. O controlador fica entre a plataforma de compartilhamento e os arquivos corporativos. Se um atacante obtiver controle do servidor, o impacto pode envolver leitura, alteração, indisponibilidade ou uso da máquina como ponto de entrada para outros sistemas. O alcance exato depende das permissões, da segmentação e do tipo de dado armazenado.

Situação Conduta recomendada Base
Storage Zone Controller em uso Desligar o servidor e aguardar orientação oficial Status do ShareFile
Versão 5.x anterior à 5.12.4 Planejar atualização, sem religar por conta própria Progress
Conta somente em nuvem Confirmar que não existe controlador local associado The Hacker News
Servidor exposto à internet Preservar registros e iniciar resposta a incidente The Hacker News

O que fazer agora

A primeira medida é obedecer à ordem de desligamento. Remover o servidor da rede é diferente de apenas bloquear uma porta: o ideal é desligar o sistema ou isolá-lo de forma controlada, mantendo a cadeia de custódia dos registros. A orientação pública da Progress, reproduzida pelo The Hacker News, é manter o controlador fora de operação até nova instrução.

  1. Identifique todos os controladores, os endereços públicos e os responsáveis por cada instância.
  2. Desligue ou isole os servidores afetados sem apagar registros, discos ou arquivos de configuração.
  3. Capture registros de acesso, autenticação, firewall, antivírus e monitoramento antes de qualquer limpeza.
  4. Procure arquivos ASP.NET inesperados, contas administrativas novas, tarefas agendadas desconhecidas e alterações recentes nas pastas do serviço.
  5. Compare a versão instalada com a orientação oficial e aguarde a confirmação da Progress antes de restaurar o acesso.

As verificações devem ser feitas por uma equipe preparada para resposta a incidentes. Se o controlador dava acesso a compartilhamentos sensíveis, trate credenciais, chaves e tokens relacionados como potencialmente expostos até que a análise prove o contrário. A troca de segredos sem preservar evidências pode apagar sinais úteis, então a sequência deve ser coordenada com o responsável forense.

Por que não basta atualizar

Atualizar para a versão 5.12.4 ou para uma versão 6.x é necessário para corrigir as vulnerabilidades de fevereiro, conforme a documentação da Progress. Porém, a atualização não é uma autorização automática para religar um servidor que recebeu uma ordem de desligamento por ameaça externa. O incidente atual pode envolver outra falha, credenciais comprometidas ou alterações já realizadas no ambiente.

Esse é o tipo de situação em que a pressa operacional cria uma segunda exposição. Restaurar o serviço apenas porque a versão está corrigida pode colocar um servidor comprometido de volta na internet. A decisão deve combinar a orientação da fabricante, a análise dos registros e a validação do estado do sistema.

O impacto para empresas

O caso mostra o risco de concentrar dados locais e acesso externo em um único componente. A arquitetura híbrida é útil, mas transforma o servidor de armazenamento em uma superfície de ataque prioritária. Organizações que usam ferramentas semelhantes precisam tratar esses componentes como sistemas de borda: inventário contínuo, autenticação forte, rede segmentada, registros centralizados e plano de desligamento testado.

Também há uma lição de comunicação. A Progress informou que não via evidências de acesso a dados, mas recomendou uma interrupção severa enquanto investigava. Para o cliente, isso significa trabalhar com duas verdades ao mesmo tempo: não existe confirmação pública de vazamento, mas existe risco suficiente para interromper o serviço. Segurança madura não espera o comunicado de comprometimento para começar a preservar evidências.

Leia também

SharePoint: CVE-2026-45659 põe 10 mil servidores em risco — outro caso de exposição de servidores corporativos.

Gitea: invasores assumem contas com um único cabeçalho — como uma falha de acesso pode virar controle de contas.

Threat Intelligence para times pequenos: guia prático — medidas para transformar sinais técnicos em resposta.

Referências