Onderzoekers waarschuwen voor twee kwetsbaarheden in Progress ShareFile die het voor ongeauthenticeerde aanvallers mogelijk maken om kwetsbare servers over te nemen. Progress werd begin februari door de onderzoekers van securitybedrijf watchTowr ingelicht en kwam op 10 maart met beveiligingsupdates. Details over de beveiligingslekken zijn nu openbaar gemaakt. Bijna achthonderd Progress ShareFile-servers zijn vanaf het internet toegankelijk, waarvan 38 in Nederland. Hoeveel daarvan de update hebben geïnstalleerd is onbekend.
ShareFile is een oplossing waarmee organisaties bestanden kunnen uitwisselen, enigszins vergelijkbaar met MOVEit Transfer, Accellion File Transfer Appliance, Fortra GoAnywhere en IBM Aspera Faspex. De software was oorspronkelijk van Citrix, maar werd twee jaar geleden overgenomen door softwarebedrijf Progress. Twee kwetsbaarheden in ShareFile maken, wanneer gecombineerd, remote code execution door een ongeauthenticeerde aanvaller mogelijk.
De eerste kwetsbaarheid (CVE-2026-2699) betreft een authentication bypass veroorzaakt door een probleem aangeduid als 'Execution After Redirect'. Wanneer een ongeauthenticeerde gebruiker de admin-interface van FileShare bezoekt wordt die doorgestuurd naar de inlogpagina. De functie die controleert of de gebruikers is geauthenticeerd, en niet ingelogde gebruikers doorstuurt, blijkt echter de rest van de admin-interface gewoon te laden. Door de HTTP response die naar de server wordt gestuurd aan te passen en daarin de Location header te verwijderen, wordt voorkomen dat er een redirect plaatsvindt en zal de admin-interface gewoon verschijnen.
Daarnaast vonden de onderzoekers een tweede probleem (CVE-2026-2701) waardoor een geauthenticeerde gebruiker een malafide bestand, zoals een webshell, naar de server kan uploaden en uitvoeren, wat tot remote code execution leidt. Progress meldt dat het niet bekend is met misbruik van de kwetsbaarheden. Beveiligingslekken in soortgelijke oplossingen zijn in het verleden echter op grote schaal misbruikt bij aanvallen.
The Shadowser Foundation, een stichting die online onderzoek doet naar kwetsbare systemen, detecteerde 784 unieke ip-adressen van ShareFile-servers, waarvan 38 in Nederland. Het gaat hier om servers die vanaf het internet toegankelijk zijn. Er is niet gekeken of de servers up-to-date zijn. De onderzoekers van watchTowr stellen dat er 30.000 servers vanaf het internet toegankelijk zijn. Daarbij merken ze op dat deze servers speciaal zijn opgezet door organisaties die hun bestanden niet aan de infrastructuur van een andere partij toevertrouwen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
