Análise Principal
Segurança & Risco4 min

Sem patch disponível, Progress desliga controladores ShareFile e deixa 86 mil clientes sem armazenamento local

Corredor de sala de servidores corporativa com luz de alerta vermelha em rack isolado

Progress Software cortou em 11 de julho o acesso à nuvem dos Storage Zone Controllers do ShareFile, atingindo 86 mil clientes após divulgação de CVE-2026-2699 (CVSS 9.8) encadeado ao CVE-2026-2701 (CVSS 9.1) que viabiliza RCE sem credenciais.

A Progress Software ordenou, em 11 de julho, o desligamento imediato dos Storage Zone Controllers do ShareFile e cortou o acesso desse componente à nuvem da plataforma, afetando clientes que dependem de armazenamento local para compartilhamento de arquivos corporativos. A medida, confirmada pela empresa em comunicação direta a clientes, foi motivada por uma "ameaça credível" vinculada a dois CVEs encadeados que permitem execução remota de código sem autenticação. A Progress adquiriu o ShareFile da Citrix em outubro de 2024 por US$ 875 milhões, absorvendo 86.000 clientes e US$ 240 milhões em receita anual recorrente.


As falhas: autenticação ignorada, execução remota de código viabilizada


A watchTowr Labs divulgou em abril de 2026 dois CVEs nos Storage Zone Controllers. O primeiro, CVE-2026-2699, recebeu pontuação CVSS de 9.8 e descreve um bypass de autenticação que permite acessar páginas de configuração restritas sem credenciais. O segundo, CVE-2026-2701, pontuado em 9.1, é uma falha de execução remota de código ativada a partir dessas mesmas páginas de configuração. Encadeadas, as duas vulnerabilidades permitem que um atacante externo e não autenticado faça upload de webshells ASPX e assuma controle total sobre o servidor, sem fornecer senha em nenhuma etapa do ataque.


A Progress não divulgou qual das duas vulnerabilidades está sendo explorada ativamente, não identificou vítimas e não estabeleceu prazo para a disponibilização de patch. Nenhum cronograma de correção havia sido anunciado publicamente até o fechamento desta matéria.


O mesmo vetor, a segunda crise em três anos


Em 2023, o mesmo produto, então sob controle da Citrix, foi alvo de exploração via CVE-2023-24489, uma falha de path traversal nos Storage Zones Controllers com CVSS de 9.8. A CISA incluiu o CVE-2023-24489 no catálogo de vulnerabilidades ativamente exploradas, e grupos de ransomware o usaram para comprometer organizações antes que patches fossem aplicados. A Citrix cortou o acesso à nuvem de controladores vulneráveis, a mesma medida que a Progress adota agora.


A watchTowr Labs publicou os detalhes técnicos dos CVEs atuais em abril de 2026. A Progress esperou três meses antes de agir, e o fez sem patch disponível. A sequência, divulgação pública em abril e shutdown em julho, replica o intervalo do episódio de 2023, em que a exploração ativa começou meses após a divulgação original.


O impacto prático para os 86 mil clientes


O Storage Zone Controller é o componente on-premises do ShareFile: mantém arquivos na infraestrutura do próprio cliente enquanto usa a nuvem ShareFile para controle de acesso, permissões e colaboração. Com o componente cortado da nuvem, a plataforma torna-se inoperante para qualquer fluxo que dependa de armazenamento local. Clientes com contas exclusivamente em nuvem não foram afetados.


O ShareFile tem presença relevante em escritórios de advocacia, serviços financeiros e entidades de saúde nos Estados Unidos, onde compete diretamente com o Box e com o Microsoft SharePoint Online. Na Europa, clientes do setor financeiro e de saúde sujeitos ao Regulamento Geral de Proteção de Dados têm obrigação de notificar autoridades supervisoras em até 72 horas em caso de exfiltração de dados pessoais. Uma exploração bem-sucedida dos CVEs converte esse risco técnico em obrigação regulatória imediata. Empresas com requisitos de soberania de dados, prevalentes nos setores bancário e governamental da Alemanha e da França, frequentemente não têm como migrar para armazenamento em nuvem em questão de dias.


A recomendação e o que ela omite


A Progress recomendou migração para o modelo de armazenamento em nuvem como alternativa de curto prazo. A medida exige transferir arquivos de servidores corporativos para a infraestrutura da própria Progress, uma decisão que envolve reclassificação de dados, avaliação de conformidade e aprovação jurídica em ambientes regulados. Para organizações com dezenas de terabytes de documentos contratuais ou registros médicos armazenados localmente, a migração não é uma operação de horas.


O padrão de resposta da Progress, suspender acesso no lugar de lançar patch, foi o mesmo adotado pela Citrix em 2023. Naquele episódio, um patch chegou em semanas. A ausência de qualquer prazo desta vez indica que a correção é estruturalmente mais complexa, ou que a Progress encontrou evidências de exploração ativa e mantém a investigação em andamento antes de comunicar o escopo completo do incidente.

Análise Principal