Cảnh báo khẩn: Mối đe dọa ShareFile Storage Zone Controller

Cảnh báo khẩn: Mối đe dọa ShareFile Storage Zone Controller

Progress Software đã đưa ra cảnh báo khẩn cấp yêu cầu khách hàng sử dụng ShareFile Storage Zone Controllers tại chỗ phải tắt ngay lập tức các máy chủ chứa thành phần này, do một mối đe dọa an ninh mạng bên ngoài đáng tin cậy nhắm vào nền tảng.

Cảnh báo khẩn cấp từ Progress Software

Thông báo được gửi trực tiếp đến hộp thư của khách hàng nêu rõ rằng Progress hiện không có dấu hiệu nào về việc truy cập trái phép vào tài khoản hoặc dữ liệu ShareFile. Tuy nhiên, công ty quyết định thực hiện biện pháp mạnh mẽ này như một biện pháp phòng ngừa trong khi hợp tác với các chuyên gia an ninh mạng nội bộ và bên ngoài để đánh giá mối đe dọa.

Ngừng hoạt động máy chủ là yêu cầu bắt buộc

Email hướng dẫn quản trị viên rằng Progress đã vô hiệu hóa quyền truy cập tài khoản thông qua Storage Zone Controllers đối với tất cả khách hàng bị ảnh hưởng. Đồng thời, công ty yêu cầu người dùng thực hiện ngắt kết nối thủ công các máy chủ cơ sở như một “bước bổ sung quan trọng” để bảo vệ dữ liệu.

Progress dự kiến sẽ chia sẻ các bản cập nhật trong vòng 24 giờ và coi hành động này là một biện pháp thận trọng, chứ không phải là xác nhận về một vụ xâm nhập đang diễn ra.

Bản chất của mối đe dọa chưa được tiết lộ

Công ty chưa công bố chi tiết về bản chất của mối đe dọa, điều này mở ra khả năng liên quan đến một lỗ hổng zero-day mới hoặc các nỗ lực khai thác lặp lại nhắm vào kiến trúc Storage Zone Controller.

Lịch sử lỗ hổng nghiêm trọng trên ShareFile Storage Zone Controller

Đây không phải là lần đầu tiên ShareFile gặp sự cố bảo mật liên quan đến cổng kết nối do khách hàng quản lý. Vào tháng 4 năm 2026, WatchTowr Labs đã công bố hai lỗ hổng có thể khai thác liên tiếp trên Storage Zone Controller:

  • CVE-2026-2699: Một lỗ hổng bỏ qua xác thực (authentication bypass) với điểm CVSS là 9.8.
  • CVE-2026-2701: Một lỗ hổng thực thi mã từ xa (remote code execution) với điểm số 9.1.

Chi tiết khai thác các lỗ hổng trước đó

Khi kết hợp lại, các lỗ hổng này cho phép kẻ tấn công không cần xác thực truy cập vào các trang cấu hình bị hạn chế và tải lên các webshell ASPX độc hại, từ đó đạt được thực thi mã từ xa hoàn toàn mà không cần thông tin đăng nhập.

Vào thời điểm đó, Shadowserver Foundation đã xác định khoảng 784 phiên bản bị lộ diện trên Internet. Hoa Kỳ và Đức là hai quốc gia có số lượng phơi nhiễm lớn nhất. Quét rộng hơn của WatchTowr đã tìm thấy gần 30.000 phiên bản có thể truy cập.

Progress đã vá các lỗ hổng này trong phiên bản 5.12.4. Phiên bản mới hơn thuộc nhánh 6.x, được xây dựng trên .NET Core, đã được xác nhận là không bị ảnh hưởng.

Khuyến nghị bảo mật cho các tổ chức

Với lịch sử các lỗ hổng RCE nghiêm trọng trước khi xác thực trên nền tảng này, các nhóm bảo mật nên xem xét nghiêm túc cảnh báo mới này, ngay cả khi chưa có thông tin kỹ thuật chi tiết. Các biện pháp nên bao gồm việc cô lập các phiên bản Storage Zone Controller tiếp xúc với Internet và theo dõi chặt chẽ các thông báo tiếp theo từ Progress.

Các chuyên gia an ninh mạng cần liên tục cập nhật các bản vá bảo mật và theo dõi các cảnh báo CVE mới để bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn.

Để có thêm thông tin chi tiết về các bản vá và khuyến nghị bảo mật, người dùng có thể tham khảo trang tư vấn của Progress Software hoặc các nguồn tin cậy như NVD (National Vulnerability Database).

Xem chi tiết CVE-2026-2699 trên NVD