Skip to content
Exploitation de vulnérabilitéEn cours

Progress ordonne aux clients de ShareFile d'éteindre leurs Storage Zone Controllers face à une « menace de sécurité externe crédible »

Progress Software a demandé aux clients de ShareFile d'éteindre manuellement leurs Storage Zone Controllers auto-hébergés après avoir identifié une menace de sécurité externe crédible visant le produit de partage de fichiers, faisant écho aux failles critiques de préauthentification récemment divulguées dans ce même composant.

Victime
Progress ShareFile
CVECVE-2026-2699CVE-2026-2701

Le 10 juillet 2026, Progress Software — l'éditeur basé à Burlington, dans le Massachusetts, à l'origine de la plateforme de transfert de fichiers managé ShareFile — a pris la mesure inhabituelle de demander à ses clients d'éteindre manuellement les serveurs hébergeant leurs Storage Zone Controllers après avoir identifié ce qu'il a qualifié de « menace de sécurité externe crédible ». La consigne est devenue publique lorsqu'un client a publié le courriel reçu sur la communauté r/sysadmin de Reddit, avant d'être corroborée par la propre page d'état de Progress, qui a rapidement présenté les clients Storage Zone Controller comme « non opérationnels » pendant que l'entreprise enquêtait.

L'avertissement concerne spécifiquement le Storage Zones Controller, le composant Windows auto-hébergé qui permet aux organisations de conserver leurs fichiers sur leur propre infrastructure tout en utilisant le cloud de ShareFile pour les partager et les gérer ; les comptes ShareFile purement cloud ne sont pas touchés. Progress a insisté sur le fait que désactiver l'accès via le cloud ShareFile ne suffisait pas — les clients ont été priés de « procéder manuellement à l'arrêt du serveur hébergeant vos Storage Zone Controllers », l'entreprise présentant cet arrêt comme « une étape supplémentaire essentielle pour garantir la sécurité de vos données ». Au moment des premières communications, l'entreprise affirmait n'avoir aucun indice d'accès non autorisé à un compte ou à des données ShareFile, et elle n'a ni nommé la menace, ni précisé si une faille zero-day était en cause, ni attribué l'activité à un quelconque acteur.

Un composant au passé récent de failles critiques

Cette directive d'urgence survient quelques mois seulement après la divulgation de deux vulnérabilités critiques de préauthentification dans ce même composant. En février 2026, Progress avait confirmé la CVE-2026-2699, une faille de contournement d'authentification atteignant le score maximal de CVSS 9.8, associée à la CVE-2026-2701, une faille d'exécution de code à distance notée 9.1. Enchaînées, ces failles permettaient à un attaquant non authentifié d'atteindre des pages de configuration protégées et d'y téléverser un webshell ASPX malveillant afin d'obtenir une exécution de code à distance complète. Le 2 avril 2026, watchTowr Labs a publié une preuve de concept fonctionnelle, et les analyses d'Internet menées à l'époque recensaient de plusieurs centaines à près de 30 000 Storage Zones Controllers exposés dans le monde, les États-Unis et l'Allemagne étant les plus représentés.

Pourquoi c'est important

ShareFile appartient à la même catégorie de logiciels de transfert de fichiers managé exposés sur Internet — aux côtés de MOVEit, GoAnywhere et Accellion — qui ont été exploités en masse à plusieurs reprises pour dérober des données à grande échelle, et la lignée du Storage Zones Controller a son propre précédent : en 2023, alors que le produit appartenait encore à Citrix, des attaquants ont activement exploité une faille non authentifiée (CVE-2023-24489) dans ce même contrôleur. La décision de Progress d'inviter ses clients à débrancher entièrement les serveurs, plutôt que de simplement appliquer un correctif, témoigne d'une menace jugée assez sérieuse pour qu'aucun correctif fiable ne soit encore disponible. Tant que Progress n'aura pas publié davantage de détails, les administrateurs exploitant des Storage Zone Controllers auto-hébergés font face à un choix ingrat entre une interruption prolongée et l'exposition à une menace que l'éditeur juge crédible mais qu'il n'a pas encore décrite.

Chronologie

  1. Progress confirme la CVE-2026-2699, une faille critique de contournement d'authentification (CVSS 9.8) dans le ShareFile Storage Zones Controller, aux côtés de la CVE-2026-2701 permettant l'exécution de code à distance.

  2. watchTowr Labs publie une chaîne d'exploitation complète en exécution de code à distance non authentifiée ainsi qu'une preuve de concept pour les deux failles.

  3. Un client publie sur le subreddit r/sysadmin un courriel de Progress demandant aux clients de ShareFile d'éteindre manuellement les serveurs Windows hébergeant leurs Storage Zone Controllers en raison d'une « menace de sécurité externe crédible ».

  4. Progress indique sur sa page d'état que les clients Storage Zone Controller sont « non opérationnels » et décrit l'incident comme faisant l'objet d'une enquête.

Sources

  1. thehackernews.comhttps://thehackernews.com/2026/07/urgent-progress-tells-sharefile.html
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/progress-urges-sharefile-customers-to-shut-down-servers-over-credible-threat/
  3. scworld.comhttps://www.scworld.com/brief/progress-software-warns-sharefile-users-of-external-security-threat
  4. watchtowr.comhttps://watchtowr.com/resources/progress-sharefile-storage-zone-controller-pre-auth-rce-cve-2026-2699-cve-2026-2701/

Incidents liés

Exploitation de vulnérabilitéEn cours

Faille SSRF de Cisco Unified CM exploitée pour déposer des webshells (CVE-2026-20230)

Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.

Victim
Cisco Unified Communications Manager
Exploitation de vulnérabilitéEn cours

Faille de gravité maximale dans Ivanti Sentry exploitée pour exécuter du code en root (CVE-2026-10520)

Ivanti a corrigé une faille d'injection de commandes sans authentification de gravité maximale dans sa passerelle mobile Sentry, permettant aux attaquants une exécution de code à distance avec les privilèges root ; quelques jours plus tard, l'exploitation réelle a suivi la publication d'une preuve de concept, conduisant la CISA à l'ajouter à son catalogue des vulnérabilités activement exploitées.

Victim
Ivanti Sentry
Exploitation de vulnérabilitéContenu

ServiceNow révèle une faille d'API sans authentification ayant permis d'interroger les données d'instances clientes

ServiceNow a révélé qu'un point de terminaison REST mal configuré et accessible sans authentification permettait d'interroger les données d'instances clientes hébergées, un problème corrigé le 5 juin mais dont l'avis (réservé aux clients connectés) n'a été publié que plusieurs jours plus tard.

Victim
ServiceNow