Progress Software ha confermato che una vulnerabilità zero-day di alta gravità nello ShareFile Storage Zone Controller ha costretto l'azienda a emettere un ordine di spegnimento emergenziale il 10 luglio 2026. Quattro giorni dopo, il 14 luglio, sono arrivate le patch nelle versioni 5.12.5 e 6.0.2. La stessa piattaforma file-transfer, acquisita da Progress per 875 milioni di dollari nell'ottobre 2024, incassa il terzo incidente critico in tre anni sul medesimo componente perimetrale.
- La vulnerabilità è un path traversal che permette a un utente amministrativo autenticato di leggere file arbitrari, scrivere contenuto malevolo in directory qualsiasi e enumerare il filesystem del server.
- Progress ha disabilitato l'accesso a tutti gli account ShareFile con Storage Zone Controllers e ordinato lo spegnimento manuale dei server il 10 luglio 2026, prima del rilascio delle patch.
- Le versioni corrette 5.12.5 e 6.0.2 sono state pubblicate il 14 luglio 2026; un CVE è riservato ma sarà pubblicato tra circa due settimane.
- Progress dichiara di non avere indicazioni di accesso non autorizzato a account o dati clienti, e di non aver identificato minacce attive.
Il meccanismo: path traversal con privilegi amministrativi
Il difetto risiede nel codice dello ShareFile Storage Zone Controller, un server Windows IIS/.NET gestito dal cliente e posizionato tipicamente al perimetro di rete. Secondo l'email inviata da Progress ai clienti e riportata da BleepingComputer, "an authenticated administrative user can read arbitrary files accessible to the application's service account, write threat actor-controlled content to arbitrary directories or enumerate the server filesystem layout".
La combinazione di lettura, scrittura ed enumerazione espone il server a una compromissione strutturale: l'attaccante può mappare il filesystem, individuare asset sensibili e iniettare payload in percorsi strategici. La condizione di autenticazione amministrativa restringe la superficie d'attacco rispetto a una vulnerabilità pre-autenticazione, ma non la annulla: account compromessi o insider malevoli opererebbero con piena legittimità.
Il componente Storage Zone Controller è architetturalmente esposto: gestisce file on-premises con autenticazione cloud, fungendo da ponte tra l'infrastruttura del cliente e i servizi ShareFile. Questa ibridazione è il suo punto di forza commerciale — soddisfa requisiti di data residency — e il suo tallone d'Achille strutturale.
"You must manually shut down the server hosting your Storage Zone Controllers. This is a critical additional step to ensure the safety of your data" — Email emergenziale Progress, riportata da The Register
La timeline del silenzio forzato: dal 10 al 14 luglio
L'ordine di spegnimento è arrivato il 10 luglio 2026 con un'email che non lasciava alternative. The Hacker News ha annotato l'asimmetria informativa: "If a fix for this threat existed, Progress would be telling customers to apply it; the shutdown order suggests there is none yet". La previsione si è rivelata esatta: le patch sono arrivate quattro giorni dopo.
Progress ha temporaneamente disabilitato l'accesso a tutti gli account che utilizzano Storage Zone Controllers, isolando il servizio prima ancora di poter offrire una correzione. La scelta ha reso lo zero-day gestibile attraverso contromisure invasive piuttosto che mitigazioni software, un pattern che le aziende clienti subiscono ma non controllano.
Il 14 luglio 2026 Progress ha rilasciato le versioni 5.12.5 e 6.0.2 dello Storage Zone Controller. Un CVE è stato riservato; la pubblicazione è prevista per fine luglio 2026, circa due settimane dopo il rilascio delle patch. Il ritardo nella pubblicazione dell'identificatore non è stato spiegato dalla fonte.
Il ritorno del fantasma: tre incidenti in tre anni
Lo shutdown di luglio 2026 non è un evento isolato. TechTimes ha ricostruito la catena: nell'aprile 2026 sono emerse le CVE-2026-2699 e CVE-2026-2701, anch'esse nello Storage Zone Controller e poi patchate. Nel 2023 la piattaforma aveva già subito la CVE-2023-24489. Il componente è stato colpito ripetutamente con intervalli di mesi, non anni.
Progress ha esplicitamente negato qualsiasi collegamento tra le CVE di aprile 2026 e lo zero-day di luglio: sono vulnerabilità distinte su codice condiviso, non regressioni di patch precedenti. La distinzione è tecnicamente rilevante ma strategicamente rassicurante solo in parte: un componente che richiede tre interventi critici in tre anni solleva questioni sulla maturità del codice, non sulla sola gestione degli incidenti.
TechTimes segnala che, secondo rilevazioni storiche di watchTowr e ShadowServer Foundation, le istanze Storage Zone Controller esposte su Internet erano circa 30.000 nell'aprile 2026 e circa 700 in un altro campionamento storico. Questi numeri descrivono la superficie d'attacco potenziale: server Windows al perimetro, spesso mantenuti per esigenze di compliance che impediscono la migrazione cloud-native.
Perché è importante
Il dossier non specifica misure correttive oltre l'applicazione delle patch 5.12.5 o 6.0.2. Progress non ha rilasciato indicazioni su hardening aggiuntivo, configurazioni alternative o mitigazioni temporanee per i clienti che non possono aggiornare immediatamente.
La fonte non documenta se esistano exploit in-the-wild non ancora rilevati, né l'identità dell'attore dietro la "credible external security threat" citata nelle comunicazioni. L'origine della segnalazione — ricercatore esterno o team interno — non è nota.
Per i CISO, il caso ripropone una tensione strutturale: i requisiti di data residency spesso impongono componenti edge on-premises esposti a Internet, ma questo modello ibrida architettura cloud con superficie perimetrale gestita dal cliente. Il brief non conclude se controlli cloud-native possano soddisfare gli stessi requisiti legali; la domanda resta aperta per valutazione interna.
Cosa fare adesso
- Aggiornare immediatamente tutte le istanze dello ShareFile Storage Zone Controller alle versioni 5.12.5 o 6.0.2 rilasciate il 14 luglio 2026.
- Riavviare i servizi solo dopo aver applicato la patch; lo spegnimento ordinato il 10 luglio resta la condizione preliminare fino all'aggiornamento.
- Verificare che l'istanza aggiornata risulti corretta controllando la versione installata rispetto alle release notes Progress.
- Riattivare l'accesso agli account ShareFile con Storage Zone Controllers solo dopo completamento della patch, seguendo le procedure di ripristino comunicate da Progress.
La fragilità del ponte ibrido
Progress ha dichiarato di non avere "indication of unauthorized access to any ShareFile customer account or data" e di non aver identificato minacce attive. La cautela del vendor è documentata; il fatto che sia necessaria un'operazione di spegnimento di massa lo è altrettanto.
Il caso ShareFile non è una storia di negligenza individuale, ma di tensione architetturale: i Managed File Transfer ibridi premiano la flessibilità con un prezzo in sicurezza perimetrale che le patch puntuali non risolvono definitivamente. Tre incidenti in tre anni sullo stesso componente suggeriscono che il problema sia il modello, non solo il codice.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/progress-confirms-sharefile-zero-day-flaw-behind-storage-zone-shutdown/
- https://thehackernews.com/2026/07/urgent-progress-tells-sharefile.html
- https://www.infosecurity-magazine.com/news/progress-warns-security-threat/
- https://www.theregister.com/security/2026/07/13/progress-orders-emergency-sharefile-server-shutdown-over-mystery-security-threat/5270281
- https://www.techtimes.com/articles/320148/20260711/progress-pulls-sharefile-storage-zone-controllers-offline-no-patch-available.htm
- https://securityboulevard.com/2026/07/progress-urges-sharefile-customers-to-shut-down-servers-over-credible-threat/
- https://www.rescana.com/post/critical-cve-2026-2699-and-cve-2026-2701-vulnerabilities-force-immediate-shutdown-of-progress-sharefile-storage-zone-con
- https://www.bleepingcomputer.com/news/security/new-progress-sharefile-flaws-can-be-chained-in-pre-auth-rce-attacks/
- https://support.sharefile.com/s/article/ShareFile-Storage-Zone-Controller-Downloads
- https://labs.watchtowr.com/youre-not-supposed-to-sharefile-with-everyone-progress-sharefile-pre-auth-rce-chain-cve-2026-2699-cve-2026-2701/
- https://docs.sharefile.com/en-us/storage-zones-controller/5-0/security-vulnerability-feb26.html
- https://attack.mitre.org/techniques/T1190/