Mastodon
Connect with us

Hacking

Κρίσιμες ευπάθειες στο Progress ShareFile

Hacking

Σύγκριση με άλλες ομάδες ransomware Η τακτική της «μάσκας»

Hacking

EtherRAT: malware με C2 πάνω στο Ethereum

Hacking

Κρίσιμες ευπάθειες στο Progress ShareFile

Κρίσιμες ευπάθειες στο Progress ShareFile Τι ανακάλυψαν οι ερευνητές ασφάλειας Οι ερευνητές της WatchTowr Labs

Published

4 days ago

on

Κρίσιμες ευπάθειες στο Progress ShareFile

Τι ανακάλυψαν οι ερευνητές ασφάλειας

Περιεχόμενα
Τι ανακάλυψαν οι ερευνητές ασφάλειας
Γιατί είναι κρίσιμο το Storage Zone Controller
Πώς λειτουργεί το πρώτο βήμα της επίθεσης
Πώς επιτυγχάνεται το RCE στο επόμενο βήμα
Τεχνικές λεπτομέρειες και αιτίες του λάθους
Ιστορικό επιθέσεων σε MFT και γιατί είναι στόχος
Πόσο διαδεδομένο είναι το πρόβλημα και το διαθέσιμο patch
Πρακτικές ανίχνευσης και άμεσες ενέργειες
Παραδείγματα κινδύνων σε πραγματικό κόσμο
Ελληνικό και ευρωπαϊκό πλαίσιο
Τι σημαίνει για τους χρήστες και τις ομάδες ασφάλειας
Προοπτικές και τι να προσέξουμε στο μέλλον

Οι ερευνητές της WatchTowr Labs δημοσίευσαν πρόσφατα μια σοβαρή αλυσίδα εκμετάλλευσης που πλήττει τον on‑premise «Storage Zone Controller» της πλατφόρμας ShareFile της Progress. Οι ευπάθειες, καταγεγραμμένες ως CVE-2026-2699 και CVE-2026-2701, επιτρέπουν σε μη πιστοποιημένους επιτιθέμενους να πετύχουν Remote Code Execution (RCE) και πλήρη ανάληψη ελέγχου διακομιστών που τρέχουν ευάλωτες εκδόσεις. Σύμφωνα με τις εκτιμήσεις, δεκάδες χιλιάδες στιγμιότυπα είναι εκτεθειμένα στο δημόσιο Internet, κάτι που καθιστά την κατάσταση άκρως επικίνδυνη για οργανισμούς με ευαίσθητα δεδομένα.

Γιατί είναι κρίσιμο το Storage Zone Controller

Η υπηρεσία ShareFile είναι γνωστή ως SaaS πλατφόρμα για ασφαλή διαμοιρασμό αρχείων, αλλά πολλές επιχειρήσεις προτιμούν να διατηρούν τα αρχεία στο εσωτερικό τους δίκτυο για λόγους κυριότητας δεδομένων και συμμόρφωσης. Ο «Storage Zone Controller» είναι το component που δίνει τη δυνατότητα αυτή: λειτουργεί ως customer‑managed gateway και επιτρέπει την αποστολή και ανάκτηση αρχείων από τοπικά network shares ή private cloud buckets, ενώ το web interface παραμένει στο SaaS. Αυτός ο συμβιβασμός — SaaS διεπαφή με on‑prem storage — είναι ακριβώς ο λόγος που μια ευπάθεια στο Storage Zone Controller έχει τόσο μεγάλο αντίκτυπο: ανοίγει την πόρτα σε ολόκληρο το εσωτερικό οικοσύστημα δεδομένων.

Πώς λειτουργεί το πρώτο βήμα της επίθεσης

Η αλυσίδα εκμετάλλευσης ξεκινά με την παραβίαση της αυθεντικοποίησης στην σελίδα διαχείρισης (/ConfigService/Admin.aspx). Κανονικά, όταν ένας μη πιστοποιημένος χρήστης ζητήσει αυτήν τη διαδρομή, ο διακομιστής απαντά με HTTP 302 redirect προς τη σελίδα σύνδεσης. Στον πυρήνα της ευπάθειας βρίσκεται ένα λάθος στο C# κομμάτι της εφαρμογής: οι προγραμματιστές χρησιμοποίησαν την κλήση Response.Redirect με το boolean flag που δείχνει να μη τερματιστεί η εκτέλεση της σελίδας — ουσιαστικά Response.Redirect(…, false) στην ASP.NET. Αυτό επιτρέπει στον server να συνεχίσει την παραγωγή περιεχομένου μετά το redirect.

Αυτή η κατηγορία σφαλμάτων είναι γνωστή ως Execution After Redirect (EAR). Στην πράξη, ένας επιτιθέμενος μπορεί να παγιδεύσει την HTTP απάντηση, να αφαιρέσει την κεφαλίδα Location και να φορτώσει το περιεχόμενο της σελίδας διαχείρισης που ήδη παρήχθη. Αν το περιεχόμενο περιέχει το πλήρες admin panel, ο επιτιθέμενος αποκτά πρόσβαση χωρίς κωδικούς.

Πώς επιτυγχάνεται το RCE στο επόμενο βήμα

Με το admin panel προσιτό, ο επιτιθέμενος αξιοποιεί τη δεύτερη ευπάθεια που αφορά τη διαχείριση τοποθεσίας αποθήκευσης (Network Share Location). Ο Storage Zone Controller επιτρέπει στον διαχειριστή να δηλώσει ένα path για το που θα γράφονται τα ανεβασμένα αρχεία. Η εφαρμογή ελέγχει αν το path έχει δικαιώματα ανάγνωσης/εγγραφής, αλλά δεν ελέγχει αν το path είναι «ασφαλές» ή αν δείχνει σε δημόσια περιοχή του webserver.

Έτσι, ο κακόβουλος διαχειριστής μπορεί να ορίσει το path κατευθείαν στον webroot της εφαρμογής (π.χ. C:inetpubwwwrootShareFileStorageCenterdocumentum). Στη συνέχεια φορτώνει ένα κακόβουλο αρχείο ASPX — ένα web shell — που μοιάζει με απλό αρχείο, αλλά όταν προσπελαστεί από URL εκτελεί εντολές στο πλαίσιο του IIS process. Το αποτέλεσμα είναι πλήρης, απομακρυσμένος έλεγχος του διακομιστή.

Τεχνικές λεπτομέρειες και αιτίες του λάθους

Το πρόβλημα είναι συνδυασμός λογικής ελέγχου ροής και ανεπαρκών validation checks. Στην ASP.NET, η χρήση του Response.Redirect χωρίς τερματισμό της εκτέλεσης είχε γνωστές συνέπειες αλλά παραμένει ένα εύκολο λάθος, ειδικά σε πολυσύνθετες βάσεις κώδικα. Από την άλλη πλευρά, η αποδοχή οποιουδήποτε path από τον διαχειριστή χωρίς whitelist, canonicalization ή canonical path checks ανοίγει τον δρόμο σε path traversal/overlap επιθέσεις που οδηγούν σε ανεπιθύμητη τοποθέτηση εκτελέσιμων αρχείων στον webroot.

Αν το περιβάλλον τρέχει με δικαιώματα υψηλού επιπέδου για τον IIS user, ο επιτιθέμενος μπορεί όχι μόνο να εκτελέσει εντολές αλλά και να μετακινήσει ευαίσθητα αρχεία, να εγκαταστήσει ransomware ή να δημιουργήσει persistency mechanisms.

Ιστορικό επιθέσεων σε MFT και γιατί είναι στόχος

Οι λύσεις Managed File Transfer (MFT) ήταν και παραμένουν προνομιακοί στόχοι για APT groups και ransomware gangs. Ιστορικές επιθέσεις σε εργαλεία όπως MOVEit, Cleo Harmony και GoAnywhere έχουν δείξει ότι μια μοναδική ευπάθεια σε λογισμικό διαμοιρασμού αρχείων μπορεί να οδηγήσει σε μαζικές διαρροές δεδομένων και πολύ μεγάλες απαιτήσεις λύτρων. Οι επιτιθέμενοι ψάχνουν για συνδέσμους που γεφυρώνουν SaaS και on‑premise storage, διότι τέτοιοι σύνδεσμοι προσφέρουν ευκαιρίες για ευρύτερη κάλυψη σε εταιρικά δίκτυα.

Πόσο διαδεδομένο είναι το πρόβλημα και το διαθέσιμο patch

Οι ερευνητές ανέφεραν περίπου 30.000 εκτεθειμένα instances που απαντούν δημόσια, αριθμός που μεταφράζεται σε μεγάλο αριθμό πιθανών θυμάτων. Η Progress κυκλοφόρησε την επιδιόρθωση στην έκδοση 5.12.4 — μια ενημέρωση που διόρθωσε και τα δύο CVE. Η έκδοση 5.12.3 επιβεβαιώθηκε ως ευάλωτη από τη WatchTowr Labs, και το patch διανεμήθηκε στους πελάτες στις 10 Μαρτίου 2026. Για οργανισμούς με δημόσια εκτεθειμένους Storage Zone Controllers, η αναβάθμιση είναι άμεση προτεραιότητα.

Πρακτικές ανίχνευσης και άμεσες ενέργειες

Πέρα από την εμβληματική συμβουλή «αναβαθμίστε τώρα», οι ομάδες ασφάλειας πρέπει να εφαρμόσουν πρακτικές για ανίχνευση πιθανών συμβιβασμών και να θωρακίσουν το περιβάλλον. Στο πεδίο των άμεσων ενεργειών περιλαμβάνονται τα εξής:

  • Επιβολή άμεσης αναβάθμισης σε 5.12.4 ή νεότερη έκδοση.
  • Έλεγχος των webroots για απροσδόκητα αρχεία με κατάληξη .aspx και ανάλυση timestamps για πρόσφατες ανεβάσεις.
  • Έλεγχος logs για αιτήματα στην /ConfigService/Admin.aspx, περιπτώσεις 302 που συνοδεύονται από ασυνήθιστη κίνηση ή απουσία header Location.
  • Απομόνωση των on‑premises gateways πίσω από firewalls και VPN, ώστε να μην είναι απευθείας εκτεθειμένα στο Internet.
  • Διάθεση WAF κανόνων που μπλοκάρουν ανεπιθύμητες uploads και suspicious user‑agent patterns.
  • Ανασκόπηση δικαιωμάτων του IIS user και αφαίρεση περιττών write/execute δικαιωμάτων στο webroot.

Επιπλέον, οργανισμοί που εντοπίζουν ανεξήγητη δραστηριότητα πρέπει να θεωρούν πιθανό τον πλήρη συμβιβασμό και να κινηθούν ως προς incident response: απομονώστε τον διακομιστή, δημιουργήστε forensic image, εξάγετε indicators of compromise και ειδοποιήστε νομικά/ρυθμιστικά όργανα όπου απαιτείται.

Παραδείγματα κινδύνων σε πραγματικό κόσμο

Μια τυπική επίθεση θα μπορούσε να ξεκινήσει με έναν σκανδάλη στην έκθεση του admin panel, συνέχεια τοποθέτηση ενός web shell και τελικό στάδιο εξαγωγής Intellectual Property από αποθηκευμένα shares. Εναλλακτικά, ο επιτιθέμενος μπορεί να εγκαταστήσει ransomware και να κρυπτογραφήσει τόσο τα local shares όσο και αντίγραφα στο public cloud, απαιτώντας λύτρα. Σε περιπτώσεις οργανισμών που διαχειρίζονται προσωπικά δεδομένα, αυτό σημαίνει επίσης αναφορές βάσει GDPR και πιθανές οικονομικές κυρώσεις.

Ελληνικό και ευρωπαϊκό πλαίσιο

Στο ευρωπαϊκό και ελληνικό πλαίσιο, οι εταιρείες που επεξεργάζονται προσωπικά δεδομένα έχουν υποχρέωση να γνωστοποιούν παραβιάσεις εντός 72 ωρών εφόσον υπάρχει κίνδυνος για τα δικαιώματα φυσικών προσώπων. Επιπλέον, ο δημόσιος τομέας και οι χρηματοπιστωτικοί οργανισμοί, που συχνά χρησιμοποιούν on‑premise MFT για λόγους συμμόρφωσης, πρέπει να ενισχύσουν την επιθεώρηση των συστημάτων τους. Οι ελληνικές επιχειρήσεις με διεθνείς συνεργασίες πρέπει να λάβουν υπόψη τις απαιτήσεις data sovereignty και να επικοινωνήσουν με νομικούς και compliance officers για τυχόν υποχρεώσεις κοινοποίησης.

Τι σημαίνει για τους χρήστες και τις ομάδες ασφάλειας

Για τον τελικό χρήστη η ευπάθεια είναι αόρατη μέχρι να προκληθεί συμβάν. Για τις ομάδες ασφάλειας, όμως, σημαίνει αναπροτεραιοποίηση patch management, αυστηρότερη διαχείριση πρόσβασης στα admin panels και έλεγχο των διαδικασιών που επιτρέπουν αλλαγές σε κρίσιμες ρυθμίσεις. Αν ο οργανισμός διατηρεί on‑premise Storage Zone Controllers, πρέπει να αντιμετωπίζει αυτούς τους κόμβους σαν κρίσιμες υποδομές και να εφαρμόζει αρχές όπως network segmentation, least privilege και τακτικούς vulnerability scans.

Προοπτικές και τι να προσέξουμε στο μέλλον

Η περίπτωση αυτή επαναφέρει στο προσκήνιο την τάση των επιτιθέμενων να στοχεύουν software που λειτουργεί ως «γέφυρα» μεταξύ cloud και on‑premise πόρων. Επειδή πολλές επιχειρήσεις επιθυμούν να διατηρήσουν έλεγχο των δεδομένων τους, θα συνεχίσουμε να βλέπουμε υψηλού επιπέδου προσπάθειες αναζήτησης αδυναμιών σε gateways και connectors. Οι προμηθευτές λογισμικού πρέπει να βελτιώσουν τις πρακτικές secure coding, να επενδύσουν σε code reviews που εστιάζουν σε edge cases όπως EAR και να ενσωματώσουν ασφαλείς default ρυθμίσεις που περιορίζουν έκθεση.

Τελικά, η συνδυαστική φύση του σφάλματος — λογική ροής εκτέλεσης συν ανεπαρκής validation path — είναι ένα μάθημα για κάθε ομάδα ανάπτυξης: η ασφάλεια δεν είναι μόνο έλεγχοι δικαιωμάτων αλλά και λεπτομέρειες στη ροή του προγράμματος.

Related Topics:
Advertisement