Новости
AsyncRAT в ZIP: чем опасен ярлык .URL из письма
Ещё один случай, где обычный ZIP-архив становится первым звеном заражения, а вредонос загружается по частям.
Компания Progress Software разослала клиентам своей платформы для обмена файлами ShareFile срочное предупреждение и попросила вручную выключить серверы. Причина — «достоверная внешняя угроза» для компонента Storage Zone Controller, который в гибридных установках отвечает за передачу файлов между облаком и хранилищем заказчика. В основе атаки — знакомый нам сценарий: загрузка обычного на вид архива оборачивается выполнением чужого кода прямо на сервере.

Коротко: 10 июля 2026 года Progress призвала клиентов ShareFile срочно выключить локальные серверы Storage Zone Controller из-за «достоверной внешней угрозы». По данным профильных изданий, речь о связке двух критических уязвимостей — обхода аутентификации (CVE-2026-2699) и произвольной загрузки файла (CVE-2026-2701). Атакующий грузит на сервер ZIP с веб-шеллом .aspx и получает удалённое выполнение кода. Патч (StorageCenter 5.12.4) вышел ещё в марте 2026 года; главная защита — обновиться и не держать уязвимую версию доступной из интернета.
ShareFile — облачный сервис компании Progress Software для обмена корпоративными файлами и обмена документами с клиентами. В гибридном режиме часть данных остаётся у заказчика: за неё отвечает локальный компонент Storage Zone Controller — Windows-сервер, который принимает и отдаёт файлы между облаком Progress и хранилищем организации.
10 июля 2026 года Progress разослала затронутым клиентам письмо с темой «Service Disruption. Immediate Action Required» («Сбой в работе. Требуется немедленное действие»). В нём компания прямо потребовала: «Вы должны вручную выключить сервер, на котором размещён ваш Storage Zone Controller. Это критически важный дополнительный шаг для безопасности ваших данных». Одновременно вендор временно отключил доступ к аккаунтам ShareFile, использующим локальные контроллеры хранилищ.
Причиной Progress назвала «достоверную внешнюю угрозу безопасности», нацеленную на Storage Zone Controller, но не стала раскрывать детали — идёт ли речь о новой уязвимости нулевого дня или об эксплуатации уже известных дыр. 12 июля 2026 года (17:00 по времени восточного побережья США) компания сообщила, что доступ к облачному сервису восстановлен, однако сами контроллеры хранилищ должны оставаться выключенными до завершения расследования. При этом Progress подчеркнула: «На данный момент у нас нет свидетельств несанкционированного доступа к каким-либо аккаунтам или данным ShareFile».
ShareFile — типичная система управляемой передачи файлов (MFT), а такие платформы за последние годы стали приоритетной мишенью для атак: через них проходят чувствительные документы целых организаций. Требование вендора физически выключить сервер — крайняя мера, к которой прибегают, только когда риск загрузки вредоносного файла и захвата системы оценивают как высокий.
Технический разбор опубликовала команда watchTowr Labs: по её данным, речь о цепочке из двух уязвимостей в ветке 5.x контроллера (ASP.NET-версия). Каждая по отдельности опасна умеренно, но вместе они дают неаутентифицированное удалённое выполнение кода. Для нас показательно, что финальный шаг атаки — это именно загрузка файла-архива, привычная операция для любого файлового сервиса.
/ConfigService/Admin.aspx. Приложение вызывает переадресацию, но не завершает выполнение страницы — и админ-панель всё равно отрисовывается. В результате неаутентифицированный посетитель получает доступ к настройкам сервера..aspx. Приложение распаковывает архив, не переименовывая расширения вложенных файлов..aspx-файл оказывается в webroot и становится доступен по сети как исполняемая страница. Обратившись к нему из браузера, атакующий выполняет команды с правами приложения — то есть получает контроль над файл-сервером.По оценке профильных СМИ, обе уязвимости отнесены к критическим: обходу аутентификации присвоен рейтинг CVSS 9.9, загрузке произвольного файла — 9.1. Ключевая деталь для темы нашего сайта: вредоносным здесь оказывается не какой-то «вирусный» формат, а самый обыкновенный ZIP. Опасность создаёт то, как сервер обходится с содержимым архива — распаковывает его в исполняемую папку и не проверяет расширения. Похожую логику «архив как контейнер для запуска чужого кода» мы уже разбирали на примере ZIP с ярлыком .URL в кампании AsyncRAT.
Загрузка и распаковка ZIP — рутинная функция файлового сервиса, и именно её удобно превратить в оружие. Если сервер извлекает содержимое архива в каталог, откуда файлы могут выполняться, а при этом доверяет исходным расширениям, то любой присланный .aspx, .php или .jsp внутри архива превращается в готовый веб-шелл. Это классическая ошибка небезопасной обработки загрузок, и ZIP как формат-контейнер лишь помогает пронести «полезную нагрузку» одним файлом.
Тот же принцип объясняет, почему архивы вообще требуют осторожного обращения — и на сервере, и на обычном компьютере. Внутри одного .zip или .rar может лежать что угодно: документ, скрипт, ярлык, исполняемый файл. О том, как устроены архивы и чем их безопасно открывать, мы подробно писали в гайде чем открыть 7Z и другие архивы. А обзор того, как злоумышленники маскируют вредонос под безобидные вложения, собран в разборе опасных вложений в RAR, SVG и PDF.
Если система принимает загружаемые файлы или архивы, безопасная обработка обязана включать три вещи: изоляцию каталога загрузок от исполняемого webroot, принудительную нормализацию расширений при распаковке и запрет исполнения загруженного содержимого. ShareFile показал, что нарушение любого из этих правил открывает путь к веб-шеллу.
Уязвимости в Storage Zone Controller не новы: по данным watchTowr Labs, первичное раскрытие обхода аутентификации датировано 6 февраля 2026 года, эмбарго на технические подробности сняли 2 апреля, а исправленная сборка StorageCenter 5.12.4 вышла ещё 10 марта 2026 года. Уязвимы версии 5.12.3 и более ранние ветки 5.x. То есть патч был доступен задолго до июльской тревоги — под удар попали те, кто не обновился и держал контроллер доступным из интернета. По сообщениям ряда изданий, к июлю исследователи начали фиксировать попытки эксплуатации в «дикой природе», что и подтолкнуло вендора к экстренному предупреждению.
Практические выводы разного масштаба, но принцип один — не давать загружаемому файлу шанс стать исполняемым:
Больше материалов о безопасной работе с загрузками, вложениями и архивами — в разделе безопасность файлов. Общий вывод инцидента прост: понимание того, как сервис обрабатывает ваши файлы, важнее, чем список «опасных» расширений.