Hauptanalyse
Sicherheit & Risiko4 Min.

Ohne verfügbaren Patch schaltet Progress ShareFile-Steuerelemente ab und lässt 86.000 Kunden ohne lokalen Speicherraum zurück

Corredor de sala de servidores corporativa com luz de alerta vermelha em rack isolado

Die Progress Software hat am 11. Juli den Zugang zur Cloud der Storage Zone Controllers von ShareFile unterbrochen, was 86.000 Kunden betraf, nachdem der CVE-2026-2699 (CVSS 9.8) in Verbindung mit dem CVE-2026-2701 (CVSS 9.1) veröffentlicht wurde, die eine RCE ohne Credentials ermöglicht.

Die Progress Software hat am 11. Juli die sofortige Abschaltung der Storage Zone Controllers von ShareFile angeordnet und den Zugang dieses Komponenten zur Cloud der Plattform eingestellt, was Kunden betrifft, die auf lokalen Speicher für den Austausch von Unternehmensdateien angewiesen sind. Diese Maßnahme, die das Unternehmen in einer direkten Mitteilung an Kunden bestätigte, wurde von einer "glaubwürdigen Bedrohung" ausgelöst, die mit zwei verknüpften CVEs verbunden ist, die eine Remote-Code-Ausführung ohne Authentifizierung ermöglichen. Progress hat ShareFile im Oktober 2024 für 875 Millionen US-Dollar von Citrix übernommen und dabei 86.000 Kunden sowie 240 Millionen US-Dollar wiederkehrenden Jahresumsatz akquiriert.


Die Schwachstellen: Ignorierte Authentifizierung, Remote-Code-Ausführung ermöglicht


Die watchTowr Labs veröffentlichten im April 2026 zwei CVEs zu den Storage Zone Controllers. Das erste, CVE-2026-2699, erhielt eine CVSS-Bewertung von 9.8 und beschreibt einen Authentifizierungs-Bypass, der den Zugriff auf eingeschränkte Konfigurationsseiten ohne Credentials ermöglicht. Das zweite, CVE-2026-2701, das mit 9.1 bewertet wird, ist eine Schwachstelle zur Remote-Code-Ausführung, die von denselben Konfigurationsseiten ausgelöst wird. Zusammen ermöglichen die beiden Schwachstellen es einem externen und nicht authentifizierten Angreifer, ASPX-Webshells hochzuladen und die vollständige Kontrolle über den Server zu übernehmen, ohne dass zu irgendeinem Zeitpunkt bei dem Angriff ein Passwort bereitgestellt werden muss.


Progress hat nicht bekanntgegeben, welche der beiden Schwachstellen aktiv ausgenutzt wird, hat keine Opfer identifiziert und keinen Zeitrahmen für die Bereitstellung eines Patches festgelegt. Bis zum Zeitpunkt der Fertigstellung dieses Berichts war kein Korrekturzeitplan öffentlich bekannt gegeben worden.


Der gleiche Vektor, die zweite Krise in drei Jahren


Im Jahr 2023 war dasselbe Produkt, damals unter der Kontrolle von Citrix, Ziel einer Ausnutzung über CVE-2023-24489, eine Schwachstelle für Path Traversal in den Storage Zone Controllers mit einer CVSS von 9.8. CISA hat CVE-2023-24489 in das Verzeichnis aktiv ausgenutzter Schwachstellen aufgenommen, und Ransomware-Gruppen haben diese verwendet, um Organisationen zu gefährden, bevor Patches angewendet wurden. Citrix hat den Zugang zu den Cloud-basierten verwundbaren Controllern abgeschnitten, die gleiche Maßnahme, die Progress jetzt anwendet.


Die watchTowr Labs veröffentlichte die technischen Details der aktuellen CVEs im April 2026. Progress wartete drei Monate, bevor Maßnahmen ergriffen wurden, und dies ohne einen verfügbaren Patch. Der zeitliche Ablauf, die öffentliche Bekanntgabe im April und die Abschaltung im Juli, spiegelt den Zeitrahmen des Vorfalls von 2023 wider, in dem die aktive Ausnutzung Monate nach der ursprünglichen Bekanntgabe begann.


Praktische Auswirkungen für die 86.000 Kunden


Der Storage Zone Controller ist das On-Premises-Komponente von ShareFile: er speichert Dateien in der Infrastruktur des Kunden selbst und nutzt die ShareFile-Cloud für den Zugangskontrolle, Berechtigungen und Zusammenarbeit. Mit dem Ablegen der Komponente von der Cloud wird die Plattform für jeden Flow, der auf lokales Speichern angewiesen ist, unbrauchbar. Kunden mit ausschließlich Cloud-Konten waren nicht betroffen.


ShareFile hat eine relevante Präsenz in Anwaltskanzleien, Finanzdienstleistungen und Gesundheitseinrichtungen in den Vereinigten Staaten, wo es direkt mit Box und Microsoft SharePoint Online konkurriert. In Europa sind Kunden aus dem Finanz- und Gesundheitssektor, die der Datenschutz-Grundverordnung unterliegen, verpflichtet, Aufsichtsbehörden innerhalb von 72 Stunden im Falle einer Exfiltration personenbezogener Daten zu benachrichtigen. Eine erfolgreiche Ausnutzung der CVEs wandelt dieses technische Risiko in eine sofortige regulatorische Verpflichtung um. Unternehmen mit Anforderungen an die Datensouveränität, die in den Banken- und Regierungssektoren Deutschlands und Frankreichs vorherrschend sind, haben häufig keine Möglichkeit, in Fragen von Tagen in die Cloud zu migrieren.


Die Empfehlung und was sie auslässt


Progress empfiehlt die Migration zu einem Cloud-Speichermodell als kurzfristige Alternative. Diese Maßnahme erfordert das Übertragen von Dateien von Unternehmensservern zur Infrastruktur von Progress, eine Entscheidung, die die Neubeurteilung von Daten, die Einhaltung von Vorschriften und die juristische Genehmigung in regulierten Umgebungen einschließt. Für Organisationen mit Dutzenden Terabytes an lokal gespeicherten Vertragsdokumenten oder medizinischen Aufzeichnungen ist die Migration keine Aufgabe von Stunden.


Das Reaktionsmuster von Progress, den Zugriff zu sperren, anstatt einen Patch freizugeben, war dasselbe, das Citrix 2023 anwandte. In diesem Fall traf ein Patch binnen Wochen ein. Das Fehlen eines Zeitrahmens in diesem Fall deutet darauf hin, dass die Korrektur strukturell komplexer ist oder dass Progress Hinweise auf eine aktive Ausnutzung gefunden hat und die Ermittlungen vorantreibt, bevor der vollständige Umfang des Vorfalls mitgeteilt wird.

Hauptanalyse