Nach Angaben von Progress wurde die Schwachstelle im Zuge der Untersuchung eines Hinweises auf eine mögliche Bedrohung gegen ShareFile-Kunden entdeckt. Gegenüber BleepingComputer erklärte das Unternehmen, man habe „aus besonderer Vorsicht“ gehandelt, nachdem Informationen aus einer glaubwürdigen Quelle über eine potenzielle Bedrohung für den Storage Zone Controller eingegangen seien. Die anschließende Untersuchung habe dann eine Schwachstelle aufgedeckt, die noch vor ihrer öffentlichen Bekanntmachung geschlossen worden sei.
In einem Kundenupdate beschreibt Progress die Lücke als schwerwiegende Pfadmanipulations-Schwachstelle in allen 5.x- und 6.x-Versionen des ShareFile Storage Zone Controller. Einem von BleepingComputer eingesehenen Schreiben zufolge kann ein authentifizierter administrativer Benutzer beliebige Dateien lesen, auf die das Dienstkonto der Anwendung Zugriff hat. Zudem kann er vom Angreifer kontrollierte Inhalte in beliebige Verzeichnisse schreiben oder den Aufbau des Server-Dateisystems auslesen.
Für die Schwachstelle ist laut Progress bereits eine CVE-Kennung reserviert. Veröffentlicht werden soll sie jedoch erst in zwei Wochen. Auf Nachfrage von BleepingComputer begründete das Unternehmen die Verzögerung damit, Kunden zunächst Zeit zum Einspielen der Updates geben zu wollen, bevor technische Einzelheiten öffentlich und damit auch für potenzielle Angreifer leichter verfügbar werden. Progress erklärte außerdem, dass dieses Vorgehen der üblichen Praxis des Unternehmens entspreche.
Zur Behebung hat Progress die Versionen 5.12.5 und 6.0.2 des ShareFile Storage Zone Controller bereitgestellt. Kunden sollen die Sicherheitsupdates so schnell wie möglich installieren. Sobald die Aktualisierung abgeschlossen ist, können die Storage Zone Controllers wieder online genommen werden.
Trotz des ursprünglichen Warnhinweises auf eine mögliche Bedrohung betont Progress inzwischen, es gebe derzeit keine Hinweise auf kompromittierte Kunden. Das Unternehmen erklärte, man habe „derzeit keine Hinweise auf unbefugten Zugriff auf ShareFile-Kundenkonten oder Daten“ und auch „keine aktive Bedrohung“ festgestellt.
Storage Zone Controllers sind von Kunden verwaltete Windows-Server. Sie ermöglichen es Organisationen, Dateien lokal zu speichern und gleichzeitig die ShareFile-Cloud-Plattform weiter für Authentifizierung, Berechtigungen, Protokollierung und Zusammenarbeit zu nutzen. Da diese Systeme die über ShareFile übertragenen Dateien enthalten, sind sie ein besonders sensibles Ziel.
BleepingComputer hat Progress außerdem gefragt, ob die Schwachstelle intern oder von einem externen Sicherheitsforscher entdeckt wurde und ob weitere technische Details veröffentlicht werden. Eine Antwort darauf lag zunächst nicht vor.
