Progress не сказал части клиентов ShareFile установить патч. Он сказал выключить серверы.

Корпоративная схема file sharing с on-prem сервером изолированным после предупреждения безопасности

В этом и состоит главная новость для ИТ-команд. 10 июля Progress Software сообщил клиентам ShareFile, у которых работают Storage Zone Controllers, что нужно вручную выключить Windows-серверы с этими контроллерами. Причина описана как "credible external security threat" против on-premises компонента гибридной архитектуры ShareFile.

На момент проверки публичная status page ShareFile всё ещё показывала открытый incident: "ShareFile customers with Storage Zone Controllers are not operational at this time", опубликованный 10 июля в 12:12 EDT и помеченный как Investigating. Позже Progress сообщил профильным медиа, что cloud access для affected customers был восстановлен к 5 p.m. ET в воскресенье 12 июля. Но Storage Zone Controllers должны оставаться выключенными до завершения расследования.

Progress также заявил, что у него нет evidence of unauthorized access to any ShareFile customer account or data, и что active threat не был identified в этой statement. Это важно. Но это не полноценный all-clear для customer-run controllers.

Для IT operations это редкая инструкция: нет публичного CVE по текущему эпизоду, нет публичного patch, нет опубликованных IOC, нет критериев restart, зато есть прямое требование выключить production-adjacent server.

Что делают Storage Zone Controllers

ShareFile может работать как cloud file-sharing service, но часть организаций использует Storage Zone Controllers, чтобы хранить файлы в своей инфраструктуре. Controller работает на customer-managed Windows server. ShareFile cloud занимается authentication, user management, sharing and collaboration, а controller перемещает uploads and downloads между users and organization's storage.

У такой схемы есть нормальные причины. Legal teams, healthcare providers, finance and companies with data-residency requirements often want more control over where files sit. Цена этого контроля — high-trust edge component. Он близко к sensitive documents, говорит с облаком и часто reachable from the internet.

File-sharing edge server is not "just middleware." Это data path.

Почему shutdown order необычен

Обычная enterprise security схема понятна: advisory, affected versions, CVE, patch, workaround, detection notes, monitoring. Иногда workaround ugly, иногда patch window painful. Но процесс всё равно похож на patch management.

Здесь иначе. Progress, по сообщениям BleepingComputer и других изданий, сказал клиентам, что disabling access through ShareFile cloud недостаточно. Нужно вручную выключить server hosting Storage Zone Controllers as a "critical additional step" to protect data.

Это не доказывает zero-day. Не доказывает exploitation in the wild. Не доказывает compromise. Progress публично этого не говорил.

Но это показывает, что vendor увидел риск, при котором downtime лучше continued exposure. Для production environment это серьёзный сигнал.

Что известно

Факты довольно узкие.

Progress described a credible external security threat targeting ShareFile Storage Zone Controllers. Affected component is the customer-run controller, not standard cloud-only ShareFile accounts. ShareFile status page confirms operational impact for Storage Zone Controller customers. BleepingComputer, The Hacker News, SecurityWeek and The Register подтвердили substance of customer communication.

Progress says it has no evidence of unauthorized access to ShareFile customer accounts or data. SecurityWeek and The Register reported updated Progress statement: cloud service access restored for customers with Storage Zone Controllers by Sunday evening, but controllers must remain off while investigation continues.

r/sysadmin thread, где email впервые стал публичным, был доступен через Reddit RSS. Original post said the user received a Progress email requiring shutdown of ShareFile Storage Zone Controllers because of a credible external security threat. Комментарии в RSS показывали admins discussing confirmation calls and status-page update. Reddit здесь signal, not factual base; status page and vendor/media confirmations carry the story.

Что неизвестно

Progress has not publicly disclosed the nature of the threat, whether any customer controller was compromised, whether the issue is a vulnerability, which versions are affected, or when administrators can safely bring controllers back online.

Проверка NVD не показала new July 2026 entry for "ShareFile Storage Zone Controller". Это не значит, что проблемы нет. Это значит, что public vulnerability metadata не появилась, или incident may not be normal CVE-shaped disclosure.

Есть исторический контекст. CVE-2023-24489 affected Citrix ShareFile Storage Zones Controller and could allow unauthenticated remote compromise; CISA added it to KEV in 2023. В апреле 2026 NVD entries for CVE-2026-2699 and CVE-2026-2701 described critical flaws in Progress ShareFile Storage Zones Controller, including configuration-page access and file-upload paths leading to possible RCE. SecurityWeek wrote that users speculate about relation to those March-patched flaws.

Но это context, not attribution. Текущий incident нельзя подавать как MOVEit 2.0, confirmed zero-day or confirmed breach without Progress, CISA or credible technical evidence.

Бизнес-проблема реальна даже без подтверждённой утечки

Для affected customers это не только security headline. ShareFile используется для document exchange. Turning off Storage Zone Controllers can interrupt client portals, legal document flows, healthcare file transfers, finance workflows, vendor onboarding, HR paperwork and any process that assumes secure file sharing is available.

Именно поэтому такая инструкция проверяет не только security team. Она проверяет business-continuity plan. Кто сообщает legal department, что document exchange paused? Кто approves temporary file-transfer path? Кто решает, можно ли использовать fallback для regulated data? Кто communicates to clients without saying too much or too little?

Если ответ — "ShareFile admin разберётся", организация уже получила неправильный урок.

Что делать affected teams

Сначала follow vendor instruction. Если Progress говорит affected Storage Zone Controller customers держать controllers offline, current version number is not permission to restart.

Затем preserve evidence before response gets messy. Это могут быть snapshots, Windows and IIS logs, application logs, reverse-proxy logs, EDR telemetry and firewall records, depending on environment and legal or IR guidance. Если server уже off, coordinate with incident response before powering it back on just to collect data.

Проверьте versions and exposure. Нужно знать, сколько controllers существует, какие versions они run, какие ports exposed, есть ли reverse proxy or WAF, и не доступен ли admin access оттуда, откуда не должен.

Разделяйте official guidance and community speculation. The Hacker News suggested checking for unfamiliar .aspx files in web folders and storage paths and confirming current versions such as 5.12.4+ on 5.x or 6.x. Это полезная industry guidance, но не замена Progress restart approval and your own forensic process.

Поговорите с бизнесом. Какие workflows down, какие alternatives approved, каких clients нужно предупредить, какие data types нельзя отправлять через ad hoc tools.

Что спросить у Progress или MSP

Спросите, относится ли ваш tenant and controllers к affected group. Спросите affected versions, specific logs or indicators, and whether Progress has seen exploitation against customer-managed controllers.

Спросите, что покрывает фраза "no evidence of unauthorized access": cloud accounts, customer data, controller hosts, or all of those. Scope matters.

Спросите, когда controllers may be restarted and what conditions must be met first. Если ответ "not yet", document it and keep leadership informed.

Спросите, меняет ли temporary cloud-only access data-location commitments, customer contracts or compliance controls. В некоторых организациях difference between cloud access and customer-managed storage is not merely technical.

Более широкий урок для file-transfer systems

Attackers like enterprise file-transfer and file-sharing systems because reward is obvious. These systems handle sensitive files, serve external users and often sit at the edge between internal storage and the internet.

Progress knows this history. MOVEit Transfer was mass-exploited in 2023 by Clop operation. Older Citrix-era ShareFile Storage Zones Controller had a known exploited unauthenticated compromise issue in 2023. Current ShareFile event has not been publicly linked to those incidents, but it sits in the same risk category: trusted file-moving infrastructure at the boundary of an organization.

Этой категории нужен отдельный runbook. Asset inventory должен включать file-transfer gateways, storage connectors, MFT servers, reverse proxies, service accounts and data stores behind them. Logging должен позволять reconstruct file movement. Isolation procedures should be rehearsed before vendor email arrives on Friday.

Что изменить после этого эпизода

Treat hybrid SaaS connectors as production security assets, not helper boxes. If a server bridges your data and a cloud service, it belongs in vulnerability management, EDR coverage, backup planning, firewall review, certificate management and incident-response exercises.

Напишите shutdown runbook. Кто может isolate file-sharing edge server, как preserve evidence, кто approves fallback channels, кто talks to business owners, when legal or compliance joins the call.

Подготовьте communications template. Calm, accurate note beats scramble. It should say what is unavailable, what alternatives are approved, what data handling rules still apply and when next update is expected.

Hybrid cloud can be right architecture, especially when data residency matters. But it does not remove risk. It moves part of the risk onto a customer-managed component that must be monitored like an internet-facing application.

Вывод не в том, что нельзя использовать ShareFile or hybrid file sharing. Вывод проще: если vendor говорит "turn it off", organization should already know what that means operationally, legally and technically.