Análisis Principal
Seguridad y Riesgo4 min

Sin parche disponible, Progress apaga controladores ShareFile y deja a 86 mil clientes sin almacenamiento local

Corredor de sala de servidores corporativa com luz de alerta vermelha em rack isolado

Progress Software cortó el acceso a la nube de los Storage Zone Controllers de ShareFile el 11 de julio, afectando a 86 mil clientes tras la divulgación del CVE-2026-2699 (CVSS 9.8) encadenado al CVE-2026-2701 (CVSS 9.1) que permite RCE sin credenciales.

Progress Software ordenó, el 11 de julio, el apagado inmediato de los Storage Zone Controllers de ShareFile y cortó el acceso de este componente a la nube de la plataforma, afectando a clientes que dependen de almacenamiento local para compartir archivos corporativos. La medida, confirmada por la empresa en comunicación directa a clientes, fue motivada por una "amenaza creíble" vinculada a dos CVEs encadenados que permiten ejecución remota de código sin autenticación. Progress adquirió ShareFile de Citrix en octubre de 2024 por 875 millones de dólares, absorbiendo a 86,000 clientes y 240 millones de dólares en ingresos anuales recurrentes.


Las fallas: autenticación ignorada, ejecución remota de código habilitada


watchTowr Labs divulgó en abril de 2026 dos CVEs en los Storage Zone Controllers. El primero, CVE-2026-2699, recibió una puntuación CVSS de 9.8 y describe un bypass de autenticación que permite acceder a páginas de configuración restringidas sin credenciales. El segundo, CVE-2026-2701, puntuado en 9.1, es una falla de ejecución remota de código activada desde esas mismas páginas de configuración. Encadenadas, las dos vulnerabilidades permiten que un atacante externo y no autenticado suba webshells ASPX y asuma control total sobre el servidor, sin proporcionar contraseña en ninguna etapa del ataque.


Progress no divulgó cuál de las dos vulnerabilidades está siendo explotada activamente, no identificó víctimas y no estableció un plazo para la disponibilidad del parche. Ningún cronograma de corrección había sido anunciado públicamente hasta el cierre de esta materia.


El mismo vector, la segunda crisis en tres años


En 2023, el mismo producto, entonces bajo control de Citrix, fue objeto de explotación a través de CVE-2023-24489, una falla de path traversal en los Storage Zones Controllers con CVSS de 9.8. La CISA incluyó el CVE-2023-24489 en el catálogo de vulnerabilidades activamente explotadas, y grupos de ransomware lo usaron para comprometer organizaciones antes de que se aplicaran parches. Citrix cortó el acceso a la nube de controladores vulnerables, la misma medida que Progress adoptó ahora.


watchTowr Labs publicó los detalles técnicos de los CVEs actuales en abril de 2026. Progress esperó tres meses antes de actuar, y lo hizo sin parche disponible. La secuencia, divulgación pública en abril y apagado en julio, replica el intervalo del episodio de 2023, en que la explotación activa comenzó meses después de la divulgación original.


El impacto práctico para los 86 mil clientes


El Storage Zone Controller es el componente on-premises de ShareFile: mantiene archivos en la infraestructura del propio cliente mientras utiliza la nube ShareFile para control de acceso, permisos y colaboración. Con el componente cortado de la nube, la plataforma se vuelve inoperante para cualquier flujo que dependa de almacenamiento local. Clientes con cuentas exclusivamente en la nube no fueron afectados.


ShareFile tiene una presencia relevante en oficinas de abogados, servicios financieros y entidades de salud en los Estados Unidos, donde compite directamente con Box y Microsoft SharePoint Online. En Europa, los clientes del sector financiero y de salud sujetos al Reglamento General de Protección de Datos tienen la obligación de notificar a las autoridades supervisoras en un plazo de 72 horas en caso de exfiltración de datos personales. Una explotación exitosa de los CVEs convierte este riesgo técnico en una obligación regulatoria inmediata. Empresas con requisitos de soberanía de datos, prevalentes en los sectores bancario y gubernamental de Alemania y Francia, frecuentemente no tienen cómo migrar a almacenamiento en la nube en cuestión de días.


La recomendación y lo que omite


Progress recomendó la migración a un modelo de almacenamiento en la nube como alternativa a corto plazo. La medida exige transferir archivos de servidores corporativos a la infraestructura de Progress, una decisión que involucra reclasificación de datos, evaluación de conformidad y aprobación jurídica en ambientes regulados. Para organizaciones con decenas de terabytes de documentos contractuales o registros médicos almacenados localmente, la migración no es una operación de horas.


El patrón de respuesta de Progress, suspender el acceso en lugar de lanzar un parche, fue el mismo adoptado por Citrix en 2023. En aquel episodio, un parche llegó en semanas. La ausencia de cualquier plazo esta vez indica que la corrección es estructuralmente más compleja, o que Progress encontró evidencia de explotación activa y mantiene la investigación en curso antes de comunicar el alcance completo del incidente.

Análisis Principal