Progress、セキュリティ懸念を受けShareFile Storage Zone Controllerの停止を要請

エンタープライズソフトウェア大手のProgress Softwareは金曜日、セキュリティ上の懸念からShareFileの顧客に対しStorage Zone Controllerサーバーの停止を促しました。

Storage Zone Controllerは、ShareFile顧客にオンプレミスまたはサードパーティのストレージシステム上でプライベートなデータ保存機能を提供するもので、アプリケーション固有のパスワードで保護され、顧客自身が管理する仕組みになっています。

同社は金曜日、Storage Zone Controllerを使用しているShareFileアカウントへのアクセスを無効化したことと、「信頼性の高い外部からのセキュリティ脅威」を調査中であることを顧客に通知しました。

「Progress ShareFile Storage Zone Controllerを標的とした信頼性の高い外部セキュリティ脅威について、当社は把握しています」と、同社のフォーラムに掲載されたメッセージには記載されています。

Progressはさらに、追加の保護策として、顧客自身がStorage Zone Controllerを手動で停止するよう求めました。

「Progressがサイバーセキュリティ専門家とともに評価を継続する間、Storage Zone Controllerをホストするサーバーをできるだけ早く手動で停止してください」と同社のメッセージには記されています。

「現時点で、Progress ShareFileのいずれのアカウントや顧客データに対しても不正アクセスがあったことを示す兆候は確認されていません」と同社は述べています。

Progressはこのセキュリティ脅威の詳細を明らかにしていませんが、ユーザーの間では、脅威アクターが3月に修正された2件の脆弱性を狙っているのではないかとの憶測が広がっています。

CVE-2026-2699(CVSSスコア9.8)およびCVE-2026-2701(CVSSスコア9.1)として追跡されているこれらの脆弱性は、組み合わせて悪用されることで、設定変更や悪意のあるファイルのアップロードを可能にし、認証なしでリモートコード実行(RCE)を達成できる恐れがあります。

SecurityWeekの取材に対し、Progressは週末にかけてShareFileサービスへの顧客アクセスを復旧させたことを明らかにした一方、Storage Zone Controllerを再度有効化しないよう注意を呼びかけています。

「7月12日(日)午後5時(米東部時間)時点で、当社はStorage Zone Controllerを利用するすべてのShareFile顧客に対し、Progress ShareFileクラウドサービスへのアクセスが復旧したことを通知しました。ただし、調査が完了するまでの間、Storage Zone Controllerは停止した状態を維持する必要があります。現時点で、ShareFile顧客のアカウントやデータへの不正アクセスを示す証拠はなく、活動中の脅威も確認されていません。新たな情報が入り次第、引き続き顧客の皆様に最新情報を提供してまいります。」

*Progress Softwareからの声明を追記して更新。

翻訳元: https://www.securityweek.com/progress-prompts-sharefile-storage-zone-controller-shutdown-amid-security-concerns/

ソース: securityweek.com