Die Bestätigung von Progress folgt zwei Tage nachdem das Unternehmen den Zugriff auf ShareFile-Konten für alle Kunden mit Storage Zones Controller abgeschaltet hatte. Gegenüber SecurityWeek erklärte Progress, der Zugang sei inzwischen für diese Kunden wiederhergestellt worden, nachdem man die Störung zuvor kommuniziert hatte.
Wie der Hersteller weiter mitteilte, wurden gepatchte Versionen an Kunden ausgeliefert. Sobald die Aktualisierung eingespielt ist, sollen die jeweiligen Storage Zones Controller wieder betriebsbereit sein. Nach Unternehmensangaben betrifft die Schwachstelle die Produktversionen 5.x und 6.x.
Öffentlich hält sich Progress mit Details zur Lücke bislang zurück und hat laut SecurityWeek auf Nachfragen noch nicht reagiert. Das Unternehmen erklärte jedoch, man sei sich keiner Kompromittierung von Kunden bewusst. Wörtlich teilte Progress mit, es gebe derzeit „keine Belege für einen unbefugten Zugriff auf ShareFile-Kundenkonten oder -daten“, zudem habe man „keine aktive Bedrohung identifiziert“.
In einer privaten Mitteilung an Kunden bezeichnete Progress den Sicherheitsfehler als Path-Traversal-Schwachstelle, die von Angreifern mit administrativen Rechten ausgenutzt werden könne. Einer auf Reddit veröffentlichten Kopie der E-Mail zufolge kann „ein authentifizierter administrativer Nutzer beliebige Dateien lesen, auf die das Dienstkonto der Anwendung zugreifen kann, von Bedrohungsakteuren kontrollierte Inhalte in beliebige Verzeichnisse schreiben oder die Struktur des Server-Dateisystems auflisten“.
Benjamin Harris, Gründer und Vorstandschef von WatchTowr, sieht in der Beschreibung von Progress und in der zurückhaltenden Informationspolitik ein mögliches Warnsignal. Nach seiner Einschätzung lösten Schwachstellen, die bereits administrativen Zugriff voraussetzen, normalerweise keine derart weitreichende Reaktion aus. Deshalb stelle sich die Frage, ob ein Teil des Angriffsbilds bislang nicht offengelegt wurde oder ob Progress Aktivitäten von Angreifern beobachtet habe, die eine schärfere Reaktion rechtfertigten.
Harris rät Verteidigern deshalb, vom schlimmsten Fall auszugehen, ihre ShareFile Storage Zone Controllers umgehend zu aktualisieren und offengelegte Systeme als potenziell kompromittiert zu betrachten. Er warnte zudem davor, die Installation des Patches als Abschluss des Vorfalls zu betrachten. Wenn ein Hersteller Kunden auffordere, Server vom Internet zu trennen und erst Tage später einen Patch veröffentliche, obwohl die Lücke angeblich nur mit Administratorrechten ausnutzbar sei, sei Skepsis nachvollziehbar, sagte Harris.
