4日間にわたるセキュリティ上の停止措置を経て、Progressは自社のShareFile Storage Zones Controllerへのアクセスを復旧させました。
ShareFileはProgressの主力エンタープライズファイル共有サービスであり、Storage Zones ControllerはShareFile顧客にプライベートなデータストレージを提供するものです。
Progress Softwareは7月10日に「信頼性の高い外部からのセキュリティ脅威」を検知し、これを受けて同社は一時的にサービスを停止しました。サービスは7月14日に再開されています。
同社は、この事案がStorage Zones Controllerのバージョン5.xおよび6.xに影響する深刻度「高」のパストラバーサル脆弱性の悪用によるものであったとInfosecurityに確認しました。
「私たちはパッチ適用済みバージョンを開発し、顧客に提供しました。パッチ適用が完了した顧客のStorage Zones Controllerは稼働可能になります」と同社はInfosecurityに説明しています。
この脆弱性へのパッチが適用されたStorage Zones Controllerの最新バージョンは5.12.5および6.0.2です。
ただし、Progressは共通脆弱性識別子(CVE)を公表していません。同社はBleepingComputerに対し、詳細が公開されて潜在的な脅威アクターの目に触れる前に、顧客にパッチ適用の猶予を与えるため、CVEの公表を見合わせていると述べています。
「現時点で、ShareFileの顧客アカウントやデータへの不正アクセスの証拠は確認されておらず、活動中の脅威も特定されていません」と同社はInfosecurityに語っています。
Progressはこれまでにもセキュリティ事案を起こしており、その一つが2023年のMOVEit Transfer製品における侵害で、これは大規模なランサムウェア攻撃で悪用されました。また、2026年4月にはMOVEit Automationにおける深刻な脆弱性が報告され、さらなる混乱を招きました。
画像提供:Piotr Swat / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/progress-restores-sharefile/