A Progress Software mandou clientes do ShareFile desligarem imediatamente os servidores que executam o Storage Zone Controller após identificar uma “ameaça externa crível”. O alerta afeta instalações com armazenamento controlado pelo cliente, não as contas apenas em nuvem. A empresa diz não ter evidências de acesso indevido, mas ainda investiga o caso.
Resumo
- O desligamento foi comunicado em 10 de julho de 2026 e confirmado na página oficial de status do ShareFile.
- O componente afetado mantém arquivos locais conectados ao serviço de compartilhamento e costuma ficar exposto à internet, segundo The Hacker News.
- A recomendação é manter os servidores desligados, preservar registros e iniciar investigação interna antes de qualquer religamento.
O que aconteceu
A Progress informou aos clientes que os servidores Windows com o Storage Zone Controller deveriam ser desligados como medida crítica de proteção. A companhia também suspendeu temporariamente o acesso das contas afetadas por esse componente. O incidente apareceu publicamente depois que um cliente publicou o comunicado no Reddit, no fórum r/sysadmin, e foi confirmado pela empresa ao The Hacker News.
A página de status registra que os clientes com Storage Zone Controllers estavam indisponíveis e que o caso permanecia sob investigação em 10 de julho, às 12h12 no horário de verão do leste dos Estados Unidos. A própria atualização oficial pode ser consultada em ShareFile Status.
O ponto mais relevante é a natureza da ordem. A Progress não pediu apenas uma atualização; pediu que o servidor fosse retirado do ar. Isso indica que a empresa ainda não apresentou uma correção aplicável ao incidente específico, embora não permita concluir qual falha ou técnica está sendo usada. Essa leitura é uma análise do procedimento, não uma confirmação sobre a causa.
Quem está exposto
O Storage Zone Controller é instalado pela própria organização para manter dados em uma área de armazenamento sob seu controle, enquanto o ShareFile oferece recursos de acesso, sincronização e compartilhamento. Esse modelo cria uma ponte entre a infraestrutura local e o serviço em nuvem. A descrição técnica do produto e o alcance do incidente foram detalhados pelo The Hacker News.
O alerta não se aplica às contas que usam somente o ShareFile em nuvem, sem um controlador instalado no ambiente do cliente. A prioridade é localizar servidores com o nome Storage Zone Controller, confirmar se há exposição externa e verificar quais dados passam por eles. Inventário de ativos, registros de firewall e regras de publicação na internet são fontes práticas para essa triagem.
Não há confirmação pública de que dados tenham sido roubados. A Progress declarou que não tinha indicação de acesso não autorizado a contas ou informações do ShareFile, mas essa afirmação não equivale a uma perícia concluída nos servidores. Um controlador que parece funcionar normalmente também pode ter sido alterado; por isso, a investigação deve preservar evidências antes de reinstalar ou limpar o sistema.
As falhas anteriores
O produto já foi alvo de vulnerabilidades graves. Em fevereiro de 2026, a Progress publicou correções para o Storage Zones Controller 5.x contra as CVEs CVE-2026-2699 e CVE-2026-2701. A empresa recomendou a versão 5.12.4 ou qualquer versão 6.x, que não é afetada por essas duas falhas.
A base NVD classifica a CVE-2026-2699 com pontuação 9,8 e descreve uma situação em que um invasor não autenticado pode acessar páginas restritas de configuração, alterar parâmetros e potencialmente chegar à execução remota de código. A CVE-2026-2701 trata da execução de arquivo malicioso enviado ao servidor e recebeu pontuação 8,8 na métrica principal da NVD.
Essas duas vulnerabilidades não foram ligadas publicamente à ameaça de julho. A documentação da Progress afirma que não havia relatos de exploração quando publicou a correção, enquanto o alerta atual não informa CVE, versão vulnerável ou grupo responsável. Misturar os episódios seria um erro técnico: a existência de falhas corrigidas aumenta o risco histórico, mas não prova que elas sejam a causa do incidente presente.
O precedente pesa
Em 2023, um problema diferente no mesmo tipo de controlador permitiu comprometimento remoto sem autenticação. A CISA incluiu a CVE-2023-24489 em seu catálogo de vulnerabilidades exploradas, descrevendo risco de comprometimento remoto de controladores de armazenamento do ShareFile administrados pelo cliente.
O histórico explica por que uma instalação exposta deve ser tratada como ativo de alto valor. O controlador fica entre a plataforma de compartilhamento e os arquivos corporativos. Se um atacante obtiver controle do servidor, o impacto pode envolver leitura, alteração, indisponibilidade ou uso da máquina como ponto de entrada para outros sistemas. O alcance exato depende das permissões, da segmentação e do tipo de dado armazenado.
| Situação | Conduta recomendada | Base |
|---|---|---|
| Storage Zone Controller em uso | Desligar o servidor e aguardar orientação oficial | Status do ShareFile |
| Versão 5.x anterior à 5.12.4 | Planejar atualização, sem religar por conta própria | Progress |
| Conta somente em nuvem | Confirmar que não existe controlador local associado | The Hacker News |
| Servidor exposto à internet | Preservar registros e iniciar resposta a incidente | The Hacker News |
O que fazer agora
A primeira medida é obedecer à ordem de desligamento. Remover o servidor da rede é diferente de apenas bloquear uma porta: o ideal é desligar o sistema ou isolá-lo de forma controlada, mantendo a cadeia de custódia dos registros. A orientação pública da Progress, reproduzida pelo The Hacker News, é manter o controlador fora de operação até nova instrução.
- Identifique todos os controladores, os endereços públicos e os responsáveis por cada instância.
- Desligue ou isole os servidores afetados sem apagar registros, discos ou arquivos de configuração.
- Capture registros de acesso, autenticação, firewall, antivírus e monitoramento antes de qualquer limpeza.
- Procure arquivos ASP.NET inesperados, contas administrativas novas, tarefas agendadas desconhecidas e alterações recentes nas pastas do serviço.
- Compare a versão instalada com a orientação oficial e aguarde a confirmação da Progress antes de restaurar o acesso.
As verificações devem ser feitas por uma equipe preparada para resposta a incidentes. Se o controlador dava acesso a compartilhamentos sensíveis, trate credenciais, chaves e tokens relacionados como potencialmente expostos até que a análise prove o contrário. A troca de segredos sem preservar evidências pode apagar sinais úteis, então a sequência deve ser coordenada com o responsável forense.
Por que não basta atualizar
Atualizar para a versão 5.12.4 ou para uma versão 6.x é necessário para corrigir as vulnerabilidades de fevereiro, conforme a documentação da Progress. Porém, a atualização não é uma autorização automática para religar um servidor que recebeu uma ordem de desligamento por ameaça externa. O incidente atual pode envolver outra falha, credenciais comprometidas ou alterações já realizadas no ambiente.
Esse é o tipo de situação em que a pressa operacional cria uma segunda exposição. Restaurar o serviço apenas porque a versão está corrigida pode colocar um servidor comprometido de volta na internet. A decisão deve combinar a orientação da fabricante, a análise dos registros e a validação do estado do sistema.
O impacto para empresas
O caso mostra o risco de concentrar dados locais e acesso externo em um único componente. A arquitetura híbrida é útil, mas transforma o servidor de armazenamento em uma superfície de ataque prioritária. Organizações que usam ferramentas semelhantes precisam tratar esses componentes como sistemas de borda: inventário contínuo, autenticação forte, rede segmentada, registros centralizados e plano de desligamento testado.
Também há uma lição de comunicação. A Progress informou que não via evidências de acesso a dados, mas recomendou uma interrupção severa enquanto investigava. Para o cliente, isso significa trabalhar com duas verdades ao mesmo tempo: não existe confirmação pública de vazamento, mas existe risco suficiente para interromper o serviço. Segurança madura não espera o comunicado de comprometimento para começar a preservar evidências.
Leia também
SharePoint: CVE-2026-45659 põe 10 mil servidores em risco — outro caso de exposição de servidores corporativos.
Gitea: invasores assumem contas com um único cabeçalho — como uma falha de acesso pode virar controle de contas.
Threat Intelligence para times pequenos: guia prático — medidas para transformar sinais técnicos em resposta.