Ícone do site Dolutech

ShareFile: Progress Manda Desligar Servidores Agora

progress

Neste artigo do Blog Dolutech, vamos analisar em profundidade um dos incidentes de cibersegurança mais urgentes desta semana: a ordem da Progress Software para que clientes do ShareFile Storage Zone Controller desliguem imediatamente os seus servidores Windows, depois de identificar aquilo que a empresa descreveu como uma “ameaça externa crível”. Não houve patch, não houve CVE divulgado, não houve explicação técnica. Houve apenas uma instrução direta: desligue agora. E isso, por si só, já diz muito sobre a gravidade do que está em jogo.

A Dolutech acompanha este caso desde que a notícia começou a circular, e neste artigo reunimos o que se sabe até ao momento, o contexto histórico que torna este alerta particularmente preocupante, e as ações práticas que equipas de segurança e administradores de sistemas devem tomar enquanto aguardam mais informações da fabricante.

O Alerta Que Pegou o Mercado de Surpresa

No dia 10 de julho de 2026, a Progress Software enviou um e-mail direto aos clientes que utilizam ShareFile Storage Zone Controllers, instruindo-os a desligar manualmente os servidores Windows que hospedam esses sistemas. A mensagem, que se tornou pública depois de um cliente a partilhar no Reddit, no fórum r/sysadmin, afirmava:

“Temos motivos para acreditar que existe uma ameaça externa crível a visar os ShareFile Storage Zone Controllers da Progress Software. Atualmente, não temos indicação de acesso não autorizado a quaisquer contas ou dados do ShareFile. Como precaução, desativámos temporariamente o acesso às contas ShareFile que utilizam os Storage Zone Controllers, incluindo a sua.”

Até aqui, a resposta parece padrão: desativar o acesso via nuvem enquanto se investiga. O que chama a atenção é o passo seguinte. A Progress não se limitou a bloquear o acesso remoto, foi mais longe e pediu explicitamente que os clientes desligassem fisicamente os servidores. Isso sinaliza que, na avaliação da própria fabricante, cortar o acesso pela nuvem não é suficiente para neutralizar o risco. Nós, na Dolutech, interpretamos isto como um indício forte de que o vetor de ataque suspeito não depende exclusivamente da comunicação com a infraestrutura cloud do ShareFile, algo que pode envolver exposição direta do servidor à internet.

A página de estado do ShareFile passou a mostrar o aviso “ShareFile customers with Storage Zone Controllers are not operational at this time”, e a Progress confirmou, numa atualização às 12h12 (horário do leste dos EUA), que o incidente continuava sob investigação, sem fornecer detalhes adicionais sobre a natureza da ameaça.

Como Funciona (e Por Que Importa) o Storage Zone Controller

Para quem não trabalha diretamente com soluções de partilha de ficheiros empresariais, vale a pena explicar por que este componente específico é tão sensível. O ShareFile é a plataforma de partilha segura de ficheiros da Progress Software, adquirida junto com a Citrix Content Collaboration em 2024. A maioria dos clientes utiliza o modelo totalmente em nuvem, onde os ficheiros ficam armazenados na infraestrutura da própria Progress.

Mas há um segundo modelo, híbrido, chamado Storage Zone Controller. Nele, a organização instala um servidor Windows próprio, que hospeda os ficheiros dentro do seu próprio ambiente de armazenamento, enquanto a nuvem do ShareFile continua a tratar da autenticação, gestão de utilizadores e orquestração da partilha. Na prática, quando um utilizador faz upload ou download de um ficheiro, a nuvem do ShareFile direciona o pedido para o Storage Zone Controller da organização, que então processa o ficheiro localmente.

Esse desenho tem uma consequência arquitetural incontornável: o Storage Zone Controller precisa de estar acessível pela internet. Não há como a nuvem do ShareFile direcionar pedidos para um servidor que esteja isolado atrás de um firewall sem exceções. Isso significa que toda organização que implementou um Storage Zone Controller para cumprir requisitos de residência de dados, um requisito comum em setores regulados na Europa e no Brasil, colocou, pela própria lógica do produto, uma aplicação web .NET a correr sobre IIS diretamente na borda da rede, exposta ao mundo exterior. É exatamente esse desenho que torna o componente um alvo valioso, e é exatamente esse desenho que explica por que o mesmo componente já foi protagonista de três emergências de segurança distintas em três anos.

Linha do Tempo: O Que Se Sabe Até Agora

10 de Julho: A Ordem de Desligamento

A Progress confirmou que não tem, até ao momento, qualquer indício de acesso não autorizado a contas ou dados do ShareFile. A empresa também esclareceu que apenas os clientes com Storage Zone Controllers foram afetados, as contas ShareFile puramente em nuvem continuam a funcionar normalmente. A empresa comprometeu-se a fornecer atualizações no prazo de 24 horas a partir da notificação inicial.

O Que Ainda Não Foi Dito

Passados dois dias do alerta inicial, a Progress ainda não revelou: se a ameaça envolve uma vulnerabilidade de dia zero, se algum cliente foi efetivamente comprometido, qual é o vetor técnico de ataque, e quando será seguro reiniciar os servidores. Nenhum identificador CVE foi atribuído ao incidente, e nenhum indicador de comprometimento foi publicado. Este silêncio técnico é, de certa forma, coerente com a gravidade da instrução: pedir para desligar um servidor, em vez de aplicar uma correção, é normalmente sinal de que ainda não existe uma correção disponível.

A Terceira Emergência em Três Anos no Mesmo Componente

Este é o ponto que, na opinião da Dolutech, mais merece atenção da comunidade de segurança: o Storage Zone Controller já não está a viver o seu primeiro susto. Este é o terceiro incidente crítico específico deste mesmo componente em apenas três anos.

2023: CVE-2023-24489 e o Primeiro Aviso

Em junho de 2023, ainda sob a marca Citrix, investigadores da Assetnote divulgaram a CVE-2023-24489, uma vulnerabilidade crítica com pontuação CVSS 9,8. A falha residia num erro criptográfico no tratamento de encriptação AES em modo CBC com padding PKCS7, dentro do script upload.aspx do Documentum Connector. Um atacante conseguia construir um payload encriptado que, ao ser processado, produzia dados binários aleatórios que passavam pela única verificação defensiva existente: uma string não vazia após a desencriptação. Isso era suficiente para fazer o upload de uma webshell ASPX diretamente para a raiz web do servidor, sem qualquer autenticação.

A CISA adicionou a falha ao seu catálogo de vulnerabilidades exploradas conhecidas, e exigiu que agências federais dos EUA aplicassem a correção até 6 de setembro de 2023. A resposta da Citrix na altura foi bloquear todos os Storage Zone Controllers desatualizados, impedindo-os de se ligarem à nuvem do ShareFile, até que os clientes aplicassem a correção disponível na versão 5.11.24. É, essencialmente, a mesma jogada que a Progress está a repetir agora, com uma diferença crucial: em 2023 existia uma versão corrigida para onde migrar. Em 2026, por enquanto, não existe.

Abril de 2026: CVE-2026-2699 e CVE-2026-2701

Avançamos para abril de 2026. A watchTowr Labs divulgou duas vulnerabilidades encadeáveis na linha 5.x do Storage Zone Controller. A CVE-2026-2699, um bypass de autenticação com CVSS 9,8, permitia que um atacante não autenticado alcançasse páginas de configuração restritas normalmente reservadas a administradores. Combinada com a CVE-2026-2701, uma falha de execução remota de código com CVSS 9,1, o resultado era a possibilidade de fazer upload de webshells ASPX maliciosas e obter execução completa de código, tudo sem qualquer credencial válida.

A Shadowserver Foundation identificou cerca de 784 instâncias expostas à internet no momento da divulgação, com Estados Unidos e Alemanha a concentrar a maior exposição, enquanto uma varredura mais ampla da própria watchTowr encontrou quase 30 mil instâncias visíveis publicamente. A Progress corrigiu ambas as falhas na versão 5.12.4, lançada em março de 2026, e confirmou que a nova ramificação 6.x, construída sobre .NET Core, não era afetada por estas vulnerabilidades específicas.

Julho de 2026: Sem CVE, Sem Patch, Só a Ordem de Desligar

E chegamos ao presente. A Progress foi explícita ao afirmar que não associa o incidente atual às CVE-2026-2699 e CVE-2026-2701 de abril, e nenhuma das duas foi reportada como explorada ativamente antes desta nova emergência de julho. Isto significa, na prática, que mesmo organizações que já aplicaram a versão 5.12.4, ou que já operam na ramificação 6.x mais recente, receberam a mesma instrução: desligar. A Dolutech entende que isto sugere fortemente uma vulnerabilidade nova e ainda não documentada publicamente, possivelmente um dia zero genuíno, algo que reforça por que a cautela da fabricante foi tão drástica.

O Paralelo Inevitável com o MOVEit

É impossível escrever sobre este incidente sem mencionar o precedente mais marcante da própria Progress Software: o MOVEit Transfer. Em maio de 2023, o grupo de ransomware e extorsão Cl0p explorou uma vulnerabilidade de injeção de SQL de dia zero, a CVE-2023-34362, no MOVEit Transfer, outra plataforma de transferência gerida de ficheiros da Progress. O resultado foi um dos maiores incidentes de cadeia de suprimentos já documentados: estimativas amplamente citadas apontam para mais de 2.700 organizações comprometidas e dados de aproximadamente 93 milhões de pessoas expostos, enquanto a CISA chegou a estimar mais de 3 mil organizações nos Estados Unidos e 8 mil no total mundial afetadas direta ou indiretamente pela cadeia de fornecedores.

A Dolutech vê aqui um padrão que devia preocupar qualquer equipa de segurança que dependa de ferramentas de transferência gerida de ficheiros, sejam elas MOVEit, ShareFile, GoAnywhere ou similares: estas plataformas concentram, por definição, grandes volumes de dados sensíveis, precisam de estar acessíveis pela internet para cumprir a sua função, e frequentemente carregam anos de dívida arquitetural em código legado. Não é coincidência que o mesmo fornecedor tenha agora dois produtos distintos, MOVEit e ShareFile, com históricos de exploração crítica em componentes que ficam expostos na borda da rede. O padrão de resposta também se repete: cortar acesso primeiro, investigar depois, e só divulgar detalhes técnicos quando a correção já estiver pronta para ser aplicada em massa.

Mapeamento MITRE ATT&CK

Como a Progress ainda não divulgou os detalhes técnicos específicos do incidente de julho de 2026, o mapeamento abaixo baseia-se no padrão de exploração historicamente observado neste mesmo componente, nomeadamente nas campanhas associadas à CVE-2023-24489 e ao par CVE-2026-2699/CVE-2026-2701. Serve como referência de risco, não como confirmação de que estas técnicas estão a ser usadas no incidente atual.

Tática (Táctica)TécnicaID MITREDescrição no Contexto
Acesso InicialExploit Public-Facing ApplicationT1190Exploração direta do Storage Zone Controller exposto na borda da rede
Defesa (Evasão)Bypass de AutenticaçãoT1556Contorno dos controlos de autenticação da aplicação web, conforme padrão da CVE-2026-2699
PersistênciaServer Software Component: Web ShellT1505.003Upload de webshell ASPX para a raiz web, replicando o padrão da CVE-2023-24489
ExecuçãoCommand and Scripting InterpreterT1059Execução de comandos através da webshell instalada
ColetaData from Local SystemT1005Acesso e coleta de ficheiros armazenados localmente no Storage Zone
ExfiltraçãoExfiltration Over Web ServiceT1567Extração de dados através de canais web já estabelecidos

Indicadores de Comprometimento a Observar

A Progress não publicou indicadores de comprometimento oficiais para este incidente específico até à data. A tabela abaixo reúne sinais de alerta genéricos, baseados no comportamento de exploração historicamente associado a este componente, que as equipas de segurança podem usar como ponto de partida enquanto aguardam orientação técnica formal.

Tipo de IndicadorO Que ProcurarObservação
FicheirosFicheiros .aspx recém-criados ou modificados na raiz web do IISPadrão consistente com webshells em incidentes anteriores neste componente
Logs de acessoPedidos POST a endpoints de upload ou configuração administrativa vindos de IPs não reconhecidosSinal típico de tentativa de bypass de autenticação
ProcessosProcessos filho inesperados gerados pelo worker process do IIS (w3wp.exe)Indicador clássico de execução remota de código via aplicação web
RedeTráfego de saída incomum a partir do servidor Storage Zone ControllerPode indicar exfiltração de dados em curso
ContasCriação de contas administrativas não solicitadasRepetição do padrão observado em campanhas anteriores de MFT comprometidas

Recomendações Práticas de Mitigação

Para Quem Ainda Tem o Servidor Ligado

Se a sua organização ainda não desligou o Storage Zone Controller, a recomendação da Dolutech é seguir a instrução da Progress imediatamente. Em ambiente Windows Server, o desligamento controlado do serviço IIS pode ser feito assim:

# Verificar o estado atual do serviço IIS que hospeda o Storage Zone Controller
Get-Service -Name W3SVC | Select-Object Status, Name, DisplayName

# Parar imediatamente o serviço IIS
Stop-Service -Name W3SVC -Force

# Confirmar que o serviço foi efetivamente interrompido
Get-Service -Name W3SVC

Antes de desligar, se o tempo permitir, vale a pena preservar evidências para uma futura investigação forense:

# Exportar os logs do IIS para análise posterior, antes de encerrar o serviço
Copy-Item -Path "C:\inetpub\logs\LogFiles\*" `
    -Destination "D:\Evidencias\IIS_Logs_$(Get-Date -Format yyyyMMdd_HHmm)" `
    -Recurse

Verificação de Versão e Caça a Indicadores

Mesmo sabendo que a Progress não associou o incidente atual às CVEs de abril, confirmar a versão instalada continua a ser uma boa prática de higiene, e ajuda a documentar a postura de segurança da organização:

# Verificar a versão instalada do Storage Zone Controller
Get-ItemProperty "HKLM:\SOFTWARE\Citrix\ShareFile\StorageCenter" -ErrorAction SilentlyContinue |
    Select-Object DisplayVersion

Para identificar possíveis webshells já implantadas, é recomendável procurar por ficheiros .aspx criados ou alterados recentemente na raiz web:

# Localizar ficheiros .aspx modificados nos últimos 30 dias
Get-ChildItem -Path "C:\inetpub\wwwroot" -Recurse -Filter *.aspx |
    Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-30) } |
    Select-Object FullName, LastWriteTime | Sort-Object LastWriteTime

Isolamento de Rede Enquanto Aguarda Orientação

Para organizações que, por razões operacionais, não conseguem desligar completamente o servidor de imediato, um isolamento de rede temporário reduz a superfície de exposição enquanto a investigação da Progress avança:

# Bloquear temporariamente todo o tráfego de entrada nas portas web do servidor
New-NetFirewallRule -DisplayName "Bloqueio Emergencial SZC Julho2026" `
    -Direction Inbound -Protocol TCP -LocalPort 80,443 `
    -Action Block -Profile Any

Para Quem Já Desligou

O trabalho não termina no desligamento. A Dolutech recomenda que as equipas de segurança aproveitem esta janela para: rever logs de administração dos últimos 90 dias em busca de atividade anómala, documentar a configuração atual do Storage Zone Controller para facilitar a recuperação, identificar todas as instâncias expostas à internet dentro da organização, e manter uma comunicação clara com as áreas de negócio sobre a indisponibilidade prolongada do serviço. Monitorizar ativamente a página de estado do ShareFile e os canais oficiais da Progress é essencial, já que a empresa comprometeu-se a fornecer atualizações regulares até à resolução do incidente.

Enquadramento Regulatório: NIS2, DORA, GDPR e LGPD

Europa: NIS2, DORA e GDPR/CNCS/CERT.PT

Para organizações europeias classificadas como entidades essenciais ou importantes ao abrigo da Diretiva NIS2, um incidente desta natureza pode acionar obrigações de notificação, incluindo um alerta preliminar em até 24 horas e uma notificação mais detalhada em até 72 horas junto do CSIRT nacional competente, que em Portugal corresponde ao CNCS e ao CERT.PT. Instituições financeiras sujeitas ao Regulamento DORA devem também avaliar o Storage Zone Controller sob a ótica de risco de terceiros de TIC, dado que a plataforma se enquadra como fornecedor crítico de serviços de tecnologia. Caso dados pessoais estejam envolvidos em qualquer comprometimento confirmado, o RGPD exige a notificação à autoridade de controlo competente no prazo de 72 horas após a tomada de conhecimento, além da comunicação aos titulares dos dados quando o risco for elevado.

Brasil: LGPD e ANPD

No Brasil, a Lei Geral de Proteção de Dados estabelece que agentes de tratamento devem comunicar à Autoridade Nacional de Proteção de Dados e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante, num prazo razoável a ser definido pela ANPD. Organizações brasileiras que utilizem Storage Zone Controllers do ShareFile para armazenar dados pessoais devem, desde já, avaliar se o incidente configura um evento reportável, mesmo antes de qualquer confirmação de comprometimento por parte da Progress, dado o princípio de prevenção que orienta a lei.

Conclusão: Dívida Técnica em Transferência de Ficheiros

O incidente do ShareFile Storage Zone Controller ainda está em desenvolvimento, e é possível que, nos próximos dias, a Progress Software divulgue mais detalhes técnicos, um CVE formal, e eventualmente um patch. Mas independentemente de como este capítulo específico terminar, a Dolutech acredita que a lição estrutural já está clara: componentes de transferência gerida de ficheiros que ficam expostos na borda da rede continuam a ser um dos alvos mais recompensadores para atacantes, precisamente porque concentram dados sensíveis e porque a pressão operacional para mantê-los sempre disponíveis frequentemente atrasa decisões de arquitetura mais seguras.

Três emergências críticas no mesmo componente em três anos não é azar, é um padrão. Para quem gere infraestrutura crítica em Portugal, no Brasil ou em qualquer outro mercado lusófono, este é o momento certo para reavaliar não apenas se o Storage Zone Controller está desligado, mas se a arquitetura híbrida de partilha de ficheiros da organização ainda faz sentido diante deste histórico. Nós, na Dolutech, continuaremos a acompanhar este caso e traremos atualizações assim que a Progress divulgar mais informações.

Sair da versão mobile