Новости · Безопасность файлов

Атака на Progress ShareFile: как загрузка ZIP превращается в webshell и захват файл-сервера

Компания Progress Software разослала клиентам своей платформы для обмена файлами ShareFile срочное предупреждение и попросила вручную выключить серверы. Причина — «достоверная внешняя угроза» для компонента Storage Zone Controller, который в гибридных установках отвечает за передачу файлов между облаком и хранилищем заказчика. В основе атаки — знакомый нам сценарий: загрузка обычного на вид архива оборачивается выполнением чужого кода прямо на сервере.

16 июля 2026 Редакция LoadFile Чтение 7 мин
Сервер файлового хранилища со сломанным замком и красным архивом-контейнером, пробивающим корпус — схема захвата через загрузку файла

Коротко: 10 июля 2026 года Progress призвала клиентов ShareFile срочно выключить локальные серверы Storage Zone Controller из-за «достоверной внешней угрозы». По данным профильных изданий, речь о связке двух критических уязвимостей — обхода аутентификации (CVE-2026-2699) и произвольной загрузки файла (CVE-2026-2701). Атакующий грузит на сервер ZIP с веб-шеллом .aspx и получает удалённое выполнение кода. Патч (StorageCenter 5.12.4) вышел ещё в марте 2026 года; главная защита — обновиться и не держать уязвимую версию доступной из интернета.

Что произошло с ShareFile

ShareFile — облачный сервис компании Progress Software для обмена корпоративными файлами и обмена документами с клиентами. В гибридном режиме часть данных остаётся у заказчика: за неё отвечает локальный компонент Storage Zone Controller — Windows-сервер, который принимает и отдаёт файлы между облаком Progress и хранилищем организации.

10 июля 2026 года Progress разослала затронутым клиентам письмо с темой «Service Disruption. Immediate Action Required» («Сбой в работе. Требуется немедленное действие»). В нём компания прямо потребовала: «Вы должны вручную выключить сервер, на котором размещён ваш Storage Zone Controller. Это критически важный дополнительный шаг для безопасности ваших данных». Одновременно вендор временно отключил доступ к аккаунтам ShareFile, использующим локальные контроллеры хранилищ.

Причиной Progress назвала «достоверную внешнюю угрозу безопасности», нацеленную на Storage Zone Controller, но не стала раскрывать детали — идёт ли речь о новой уязвимости нулевого дня или об эксплуатации уже известных дыр. 12 июля 2026 года (17:00 по времени восточного побережья США) компания сообщила, что доступ к облачному сервису восстановлен, однако сами контроллеры хранилищ должны оставаться выключенными до завершения расследования. При этом Progress подчеркнула: «На данный момент у нас нет свидетельств несанкционированного доступа к каким-либо аккаунтам или данным ShareFile».

!
Почему это важная новость

ShareFile — типичная система управляемой передачи файлов (MFT), а такие платформы за последние годы стали приоритетной мишенью для атак: через них проходят чувствительные документы целых организаций. Требование вендора физически выключить сервер — крайняя мера, к которой прибегают, только когда риск загрузки вредоносного файла и захвата системы оценивают как высокий.

Как загрузка файла превращается в захват сервера

Технический разбор опубликовала команда watchTowr Labs: по её данным, речь о цепочке из двух уязвимостей в ветке 5.x контроллера (ASP.NET-версия). Каждая по отдельности опасна умеренно, но вместе они дают неаутентифицированное удалённое выполнение кода. Для нас показательно, что финальный шаг атаки — это именно загрузка файла-архива, привычная операция для любого файлового сервиса.

  1. Обход аутентификации (CVE-2026-2699). Уязвимость класса «Execution After Redirect» в административной странице /ConfigService/Admin.aspx. Приложение вызывает переадресацию, но не завершает выполнение страницы — и админ-панель всё равно отрисовывается. В результате неаутентифицированный посетитель получает доступ к настройкам сервера.
  2. Подмена пути хранения. Через открывшийся доступ атакующий меняет каталог, куда сервис складывает загружаемые файлы, — и указывает корневую веб-директорию (webroot), откуда файлы могут исполняться.
  3. Загрузка ZIP с веб-шеллом (CVE-2026-2701). На сервер отправляется обычный ZIP-архив, внутри которого лежит веб-шелл — скрипт с расширением .aspx. Приложение распаковывает архив, не переименовывая расширения вложенных файлов.
  4. Удалённое выполнение кода. Распакованный .aspx-файл оказывается в webroot и становится доступен по сети как исполняемая страница. Обратившись к нему из браузера, атакующий выполняет команды с правами приложения — то есть получает контроль над файл-сервером.

По оценке профильных СМИ, обе уязвимости отнесены к критическим: обходу аутентификации присвоен рейтинг CVSS 9.9, загрузке произвольного файла — 9.1. Ключевая деталь для темы нашего сайта: вредоносным здесь оказывается не какой-то «вирусный» формат, а самый обыкновенный ZIP. Опасность создаёт то, как сервер обходится с содержимым архива — распаковывает его в исполняемую папку и не проверяет расширения. Похожую логику «архив как контейнер для запуска чужого кода» мы уже разбирали на примере ZIP с ярлыком .URL в кампании AsyncRAT.

Почему уязвимой оказалась именно распаковка архива

Загрузка и распаковка ZIP — рутинная функция файлового сервиса, и именно её удобно превратить в оружие. Если сервер извлекает содержимое архива в каталог, откуда файлы могут выполняться, а при этом доверяет исходным расширениям, то любой присланный .aspx, .php или .jsp внутри архива превращается в готовый веб-шелл. Это классическая ошибка небезопасной обработки загрузок, и ZIP как формат-контейнер лишь помогает пронести «полезную нагрузку» одним файлом.

Тот же принцип объясняет, почему архивы вообще требуют осторожного обращения — и на сервере, и на обычном компьютере. Внутри одного .zip или .rar может лежать что угодно: документ, скрипт, ярлык, исполняемый файл. О том, как устроены архивы и чем их безопасно открывать, мы подробно писали в гайде чем открыть 7Z и другие архивы. А обзор того, как злоумышленники маскируют вредонос под безобидные вложения, собран в разборе опасных вложений в RAR, SVG и PDF.

!
Урок для любого файлового сервиса

Если система принимает загружаемые файлы или архивы, безопасная обработка обязана включать три вещи: изоляцию каталога загрузок от исполняемого webroot, принудительную нормализацию расширений при распаковке и запрет исполнения загруженного содержимого. ShareFile показал, что нарушение любого из этих правил открывает путь к веб-шеллу.

Что это значит и что делать

Уязвимости в Storage Zone Controller не новы: по данным watchTowr Labs, первичное раскрытие обхода аутентификации датировано 6 февраля 2026 года, эмбарго на технические подробности сняли 2 апреля, а исправленная сборка StorageCenter 5.12.4 вышла ещё 10 марта 2026 года. Уязвимы версии 5.12.3 и более ранние ветки 5.x. То есть патч был доступен задолго до июльской тревоги — под удар попали те, кто не обновился и держал контроллер доступным из интернета. По сообщениям ряда изданий, к июлю исследователи начали фиксировать попытки эксплуатации в «дикой природе», что и подтолкнуло вендора к экстренному предупреждению.

Практические выводы разного масштаба, но принцип один — не давать загружаемому файлу шанс стать исполняемым:

  • Администраторам ShareFile. Немедленно установите StorageCenter 5.12.4 или новее, следуйте инструкции вендора по безопасному перезапуску контроллеров и не выставляйте панель управления в открытый интернет.
  • Владельцам любых файловых сервисов. Проверьте, что каталог загрузок вынесен за пределы webroot, что распаковка архивов не сохраняет исходные исполняемые расширения и что загруженные файлы нельзя выполнить как страницу.
  • Обычным пользователям. Прямой угрозы для вашего компьютера эта история не несёт, но напоминает главное правило: архив — это контейнер, и доверять стоит не формату, а источнику. Подозрительный файл лучше сначала проверить на вирусы.

Больше материалов о безопасной работе с загрузками, вложениями и архивами — в разделе безопасность файлов. Общий вывод инцидента прост: понимание того, как сервис обрабатывает ваши файлы, важнее, чем список «опасных» расширений.

Источники

Читайте также