Deux failles de sécurité dans Progress ShareFile, une solution de transfert de fichiers sécurisée destinée aux entreprises, peuvent être exploitées en série, permettant l’exfiltration de fichiers sans authentification au sein des environnements touchés.
Utilisé principalement par de grandes entreprises et des PME, Progress ShareFile est un outil de partage de documents et de collaboration. Les solutions semblables constituent une cible privilégiée pour les acteurs du ransomware, comme l’ont montré des attaques précédentes impliquant des vulnérabilités dans des systèmes tels que Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT, MOVEit Transfer, et Cleo.
Des chercheurs de l’entreprise de sécurité offensive watchTowr ont découvert un contournement d’authentification (CVE-2026-2699) ainsi qu’une vulnérabilité d’exécution de code à distance (CVE-2026-2701) au sein du composant Storage Zones Controller (SZC) de la version 5.x de Progress ShareFile.
Le SZC offre aux clients un meilleur contrôle de leurs données, leur permettant de les stocker soit sur leur infrastructure (locale ou dans un cloud tiers), soit sur les systèmes de Progress.
Suite à la divulgation responsable de watchTowr, une mise à jour a été déployée dans la version 5.12.4 de Progress ShareFile le 10 mars.
Fonctionnement de l’attaque
Selon un communiqué publié par watchTowr, l’attaque commence par l’exploitation du contournement d’authentification, CVE-2026-2699, qui permet d’accéder à l’interface d’administration de ShareFile en raison d’une mauvaise gestion des redirections HTTP.
Une fois à l’intérieur, un attaquant peut modifier les paramètres de configuration du Storage Zone, y compris les chemins de stockage des fichiers et des paramètres de sécurité sensibles tels que la phrase de passe de la zone et d’autres secrets associés.
En tirant parti de la seconde vulnérabilité, CVE-2026-2701, les attaquants peuvent obtenir une exécution de code à distance sur le serveur en abusant des fonctionnalités de téléchargement et d’extraction de fichiers pour installer des ASPX webshells malveillants dans le répertoire web de l’application.
Il est important de noter que pour que l’exploitation fonctionne, les attaquants doivent générer des signatures HMAC valides et extraire et déchiffrer des secrets internes. Cependant, ces étapes deviennent possibles après avoir exploité CVE-2026-2699 grâce à la capacité de définir ou de contrôler des valeurs liées à la phrase de passe.
Source: WatchTowr
Impact et exposition
Selon les analyses de watchTowr, environ 30 000 instances de Storage Zone Controller sont exposées sur Internet public. La ShadowServer Foundation observe actuellement 700 instances de Progress ShareFile accessibles via Internet, principalement situées aux États-Unis et en Europe.
Les failles ont été découvertes et signalées à Progress entre le 6 et le 13 février, avec la chaîne d’exploitation confirmée le 18 février pour la version 5.12.4. L’éditeur a déployé des mises à jour de sécurité dans cette version le 10 mars.
Bien qu’aucune exploitation active n’ait été observée à ce jour, il est conseillé de mettre immédiatement à jour les systèmes exécutant des versions vulnérables de ShareFile Storage Zone Controller, la divulgation publique de la chaîne incitant probablement les acteurs malveillants.