Progress Software已紧急通知其ShareFile客户要求ShareFile客户因安全威胁关闭存储区控制器
ShareFile客户的存储区控制器被未授权访问攻击,该公司证实,此举是为了应对一起外部安全威胁。
Progress Software 已通知 ShareFile 客户关闭运行其存储区控制器的 Windows 服务器,并向《黑客新闻》确认,他们是在应对“可信的外部安全威胁”。
公司已暂时禁用对受影响账户的访问,称此举“出于高度谨慎”,同时与内部和外部安全专家合作。
它表示没有迹象表明有任何未经授权访问ShareFile账户或数据,并在得知威胁后通知了客户。
该订单于7月10日公开,当时一位客户将该公司的邮件发布到Reddit的r/sysadmin版块。
Progress在其状态页面确认了中断,截至东部时间中午12:12更新,存储区控制器客户被列为“非运行”,事件正在调查中。
只有存储区控制器受影响,普通的云端共享文件账户不受影响。
控制器是公司自行运行的服务器,因此文件可以保留在自己的存储中,同时仍使用ShareFile的云端来共享和管理文件。
由于存储区控制器通常位于网络边缘,它可通过互联网访问。
这种曝光让它既有用又成为目标。
命令客户完全离线,而不仅仅是修补,是一个显著的步骤。
这个选择本身就是一个信号。
如果有针对这一威胁的修复方法,Progress会告诉客户去应用;停摆令显示目前尚无相关规定。
这通常意味着公司正在紧急修复新发现的缺陷,但同样的步骤也适用于补丁无法解决的威胁,比如密钥被盗或Progress自身的问题。
其声明未访问任何账户或数据,措辞谨慎,并未排除控制者自身可能遇到麻烦。
现在该怎么办
先按照关闭命令行事。在进度系统告诉出威胁是什么以及安全重启之前,保持受影响的手柄离线。
另外,确认你的版本是最新的:
5.x线是5.12.4或更高版本,还是6.x版本。
这已经解决了今年早些时候修复的漏洞,但进步公司并未表示已经消除了当前的威胁,所以不要把它当作重新开始的许可。
如果控制器能从互联网联系上,应视为可能的事件。
保留日志并启动事件响应流程,然后检查你未设置的网页文件夹和存储路径中不熟悉的.aspx文件。
一个看起来干净的服务器并不代表它很干净。
ShareFile以前也遇到过这种情况。
2023年,当该产品仍属于Citrix时,攻击者利用了同一存储区域控制器(CVE-2023-24489)中未认证的漏洞。
CISA将其标记为被主动利用,Citrix切断了未打补丁的控制器,这与Progress现在实施的访问屏障相同。
Progress于2024年收购了ShareFile,但此前也曾抵御过一次大规模文件传输攻击:MOVEit,该攻击在2023年被Clop团队利用,攻击了超过2700家组织。
存储区控制器还存在两个关键缺陷,watchTowr在四月披露,Progress于三月修复,但公司尚未将当前威胁与此关联,也未报告被利用。
核心问题仍未得到解答:进步公司已将这些系统下线,并与外部专家合作,但尚未说明威胁具体是什么,也未说明客户何时可以安全恢复。
2026年7月17日更新
2026年7月14日:Progress已恢复ShareFile存储区控制器客户的访问权限,解除了7月10日发布的关闭令。
公司在接受《黑客新闻》采访时表示,调查发现存储区控制器存在高严重性漏洞,影响了5.x和6.x版本。它已向客户发布了补丁版本,并表示一旦补丁应用,受影响的控制器将恢复运行。
Progress表示,没有证据显示任何ShareFile客户账户或数据被未经授权访问,也未发现任何活跃威胁。
该报告将7月10日命令背后的“可信外部安全威胁”列为公司现已修补的漏洞。声明未指明是谁在背后,也未提及针对该漏洞的CVE名称。
公司已暂时禁用对受影响账户的访问,称此举“出于高度谨慎”,同时与内部和外部安全专家合作。
它表示没有迹象表明有任何未经授权访问ShareFile账户或数据,并在得知威胁后通知了客户。
该订单于7月10日公开,当时一位客户将该公司的邮件发布到Reddit的r/sysadmin版块。
Progress在其状态页面确认了中断,截至东部时间中午12:12更新,存储区控制器客户被列为“非运行”,事件正在调查中。
只有存储区控制器受影响,普通的云端共享文件账户不受影响。
控制器是公司自行运行的服务器,因此文件可以保留在自己的存储中,同时仍使用ShareFile的云端来共享和管理文件。
由于存储区控制器通常位于网络边缘,它可通过互联网访问。
这种曝光让它既有用又成为目标。
命令客户完全离线,而不仅仅是修补,是一个显著的步骤。
这个选择本身就是一个信号。
如果有针对这一威胁的修复方法,Progress会告诉客户去应用;停摆令显示目前尚无相关规定。
这通常意味着公司正在紧急修复新发现的缺陷,但同样的步骤也适用于补丁无法解决的威胁,比如密钥被盗或Progress自身的问题。
其声明未访问任何账户或数据,措辞谨慎,并未排除控制者自身可能遇到麻烦。
现在该怎么办
先按照关闭命令行事。在进度系统告诉出威胁是什么以及安全重启之前,保持受影响的手柄离线。
另外,确认你的版本是最新的:
5.x线是5.12.4或更高版本,还是6.x版本。
这已经解决了今年早些时候修复的漏洞,但进步公司并未表示已经消除了当前的威胁,所以不要把它当作重新开始的许可。
如果控制器能从互联网联系上,应视为可能的事件。
保留日志并启动事件响应流程,然后检查你未设置的网页文件夹和存储路径中不熟悉的.aspx文件。
一个看起来干净的服务器并不代表它很干净。
ShareFile以前也遇到过这种情况。
2023年,当该产品仍属于Citrix时,攻击者利用了同一存储区域控制器(CVE-2023-24489)中未认证的漏洞。
CISA将其标记为被主动利用,Citrix切断了未打补丁的控制器,这与Progress现在实施的访问屏障相同。
Progress于2024年收购了ShareFile,但此前也曾抵御过一次大规模文件传输攻击:MOVEit,该攻击在2023年被Clop团队利用,攻击了超过2700家组织。
存储区控制器还存在两个关键缺陷,watchTowr在四月披露,Progress于三月修复,但公司尚未将当前威胁与此关联,也未报告被利用。
核心问题仍未得到解答:进步公司已将这些系统下线,并与外部专家合作,但尚未说明威胁具体是什么,也未说明客户何时可以安全恢复。
2026年7月17日更新
2026年7月14日:Progress已恢复ShareFile存储区控制器客户的访问权限,解除了7月10日发布的关闭令。
公司在接受《黑客新闻》采访时表示,调查发现存储区控制器存在高严重性漏洞,影响了5.x和6.x版本。它已向客户发布了补丁版本,并表示一旦补丁应用,受影响的控制器将恢复运行。
Progress表示,没有证据显示任何ShareFile客户账户或数据被未经授权访问,也未发现任何活跃威胁。
该报告将7月10日命令背后的“可信外部安全威胁”列为公司现已修补的漏洞。声明未指明是谁在背后,也未提及针对该漏洞的CVE名称。


评论1次
看完帖子,核心问题其实就一个:这波通知是直接让客户"拔网线"而不是打补丁,说明要么没补丁,要么打补丁也救不回来。
Progress这家公司我印象挺深的——收购前是Citrix,Citrix那波CVE-2023-24489就是存储区控制器被打了,CVSS 9.8,CISA KEV都收录了,说明当时是真的有人中招。他们2024年收购ShareFile,现在又出这事,要么是旧洞没修干净,要么是又冒了新洞。不管哪种,客户都得认栽。
7月14号他们说已经恢复访问、发了补丁、漏洞是"高严重性",但始终没给CVE编号——这操作很微妙。要么是还没分配,要么是不想公开。我倾向于认为这漏洞要么还没完全披露,要么他们在等更多客户打完补丁再放细节。
实操建议就两条:
已经恢复上线的:确认补丁版本是5.12.4+或6.x,然后立刻查日志——重点看有没有异常的.aspx请求、未授权的WebShell上传痕迹,还有存储路径下新出现的文件。服务器能从互联网访问的,尤其要当成"可能已经中招"来处理。
还在观望的:别急着上线,等官方发完整公告再说。Progress的声明里"没有证据表明数据被访问"这种措辞很滑头,没证据不等于没发生,2023年那波很多客户也是事后才发现被躺了很久。
这公司产品线有点"前科"——MOVEit 2023年被Clop打穿波及2700多家机构,ShareFile存储区控制器2023年也被打过。不是说一棍子打死,但至少说明他们的安全响应节奏和信息披露透明度得打个问号,用这套件的最好心里有数。