Öffentlich wurde die Anweisung, nachdem ein Kunde die E-Mail von Progress auf Reddit im Forum r/sysadmin veröffentlicht hatte. Auf seiner Statusseite bestätigte Progress die Störung und führte Kunden mit Storage Zone Controller als „nicht betriebsbereit“. In einem Update vom 12:12 Uhr EDT wurde der Vorfall dort als in Untersuchung beschrieben.
Die Maßnahme betrifft nur Installationen mit Storage Zone Controller. Standardmäßige ShareFile-Konten, die ausschließlich die Cloud nutzen, sind laut Progress nicht betroffen. Der Controller ist ein lokal betriebener Server, der die eigene Dateispeicherung eines Unternehmens mit den Cloud-Funktionen von ShareFile verbindet.
Gerade weil diese Systeme üblicherweise aus dem Internet erreichbar sind, gilt die vollständige Abschaltung als bemerkenswert. Statt Kunden ein Update einspielen zu lassen, verlangt Progress, die Server komplett offline zu nehmen. Im Quelltext bleibt offen, ob dafür eine neu entdeckte Schwachstelle ohne verfügbaren Fix verantwortlich ist oder ein anderes Problem vorliegt, etwa gestohlene Schlüssel oder ein Fehler auf Seiten von Progress. Das Unternehmen selbst hat hierzu keine Details genannt.
Auch die Formulierung von Progress zu möglichen Auswirkungen ist eng gefasst. Das Unternehmen erklärte, es gebe keine Anzeichen für unbefugten Zugriff auf ShareFile-Konten oder -Daten. Damit ist laut Quelltext jedoch nicht automatisch ausgeschlossen, dass es Probleme direkt auf den Controllern geben könnte.
Für ShareFile ist ein solcher Vorgang nicht ohne Vorgeschichte. 2023, als das Produkt noch Citrix gehörte, nutzten Angreifer eine nicht authentifizierte Schwachstelle im selben Storage Zones Controller aus, geführt als CVE-2023-24489. CISA stufte die Lücke damals als aktiv ausgenutzt ein, und Citrix kappte den Zugriff ungepatchter Controller auf die ShareFile-Cloud – derselbe Mechanismus, den Progress nun wieder eingesetzt hat.
Hinzu kommt, dass Progress nach der Übernahme von ShareFile im Jahr 2024 bereits eine andere große Sicherheitskrise hinter sich hatte. Beim Dateiübertragungsprodukt MOVEit wurde 2023 eine Zero-Day-Schwachstelle von der Gruppe Clop ausgenutzt; betroffen waren mehr als 2.700 Organisationen.
Außerdem gab es beim Storage Zones Controller zwei als kritisch eingestufte Schwachstellen, die watchTowr in diesem Monat offengelegt hatte und die Progress bereits im März gepatcht hatte. Einen Zusammenhang zwischen diesen Lücken und der aktuellen Bedrohung hat Progress jedoch nicht hergestellt. Ebenso gibt es laut Quelltext keine Berichte, dass eine dieser beiden Schwachstellen ausgenutzt wurde.
Die zentrale Frage bleibt damit offen: Progress hat die Systeme vom Netz nehmen lassen und externe Experten hinzugezogen, nennt aber weder die Art der Bedrohung noch einen Zeitpunkt, zu dem Kunden ihre Storage Zone Controller wieder sicher in Betrieb nehmen können.
