Tools / Neuigkeiten / Pre-Auth-Lücke in ShareFile: 30.000 Server offen
Presse

Pre-Auth-Lücke in ShareFile: 30.000 Server offen

· VaultTools

WatchTowr-Forscher veröffentlichten am 2. April 2026 zwei verkettete Schwachstellen in Progress ShareFile, die unauthentifizierten Angreifern ermöglichen, Code auszuführen und alle auf betroffenen Servern gespeicherten Dateien zu exfiltrieren. Etwa 30.000 Instanzen sind im öffentlichen Internet exponiert.

VaultTools · 3. April 2026

Abstrakte Visualisierung eines aufgebrochenen digitalen Schlosses, die den unauthentifizierten Zugriff auf Cloud-Datei-Speicherinfrastruktur darstellt. Foto auf Unsplash

Inhaltsverzeichnis


Was Forscher Herausfanden

Am 2. April 2026 veröffentlichte das offensive Sicherheitsunternehmen watchTowr technische Details zu zwei Schwachstellen im Storage Zone Controller (SZC) von Progress ShareFile, die, wenn sie verkettet werden, einem unauthentifizierten Angreifer ermöglichen, beliebigen Code auf dem Server auszuführen und alle in der betroffenen Zone gespeicherten Dateien zu exfiltrieren. Der BleepingComputer-Bericht bestätigte, dass für keinen Schritt des Angriffs eine Authentifizierung erforderlich ist.

Die unter CVE-2026-2699 und CVE-2026-2701 verfolgten Schwachstellen wurden Progress zwischen dem 6. und 13. Februar 2026 gemeldet. Der Hersteller veröffentlichte am 10. März 2026 eine gepatchte Version, SZC 5.12.4. Zum Zeitpunkt der öffentlichen Offenlegung war keine aktive Ausnutzung in freier Wildbahn bestätigt worden, obwohl watchTowr anmerkte, dass die öffentliche Offenlegung der vollständigen Kette “wahrscheinlich Bedrohungsakteure anlocken wird”.

Wie Die Zwei-Schwachstellen-Kette Funktioniert

Die Kette beginnt mit CVE-2026-2699, einem Authentifizierungs-Bypass, der durch einen Execution-After-Redirect-Fehler im /ConfigService/Admin.aspx-Endpunkt verursacht wird. Die Anwendung ruft Response.Redirect() mit einem Parameter auf, der die Weiterleitung festlegt, ohne die Ausführung zu beenden. Infolgedessen verarbeitet und rendert die administrative Oberfläche ihre vollständige Antwort trotz der 302-Weiterleitung, was unauthentifizierten Zugriff auf administrative Funktionen ermöglicht.

Mit dem etablierten Admin-Zugriff nutzt ein Angreifer CVE-2026-2701, um Remote-Code-Ausführung zu erreichen. Der Angriff konfiguriert den Storage-Repository-Pfad neu, um auf das Webroot-Verzeichnis der Anwendung zu zeigen, und lädt dann über den /upload.aspx-Endpunkt eine ZIP-Datei hoch, die eine ASPX-Webshell enthält. Da die Dateiextraktion Dateiendungen beibehält, landet die Webshell im Webroot und wird ausführbar. Die Berechnung der erforderlichen HMAC-SHA256-Signaturen zur Validierungspassage ist möglich, da Zone-Secrets nach dem initialen Bypass lesbar werden.

Das Ergebnis ist vollständige Kontrolle über das Dateispeichersystem und die Fähigkeit, beliebige in der betroffenen Zone gespeicherte Dokumente zu lesen, zu modifizieren oder zu exfiltrieren.

Die Ironie: Entwickelt Für Privaten Dateispeicher

Der Storage Zone Controller von Progress ShareFile ist die Komponente, die Organisationen einsetzen, wenn sie Dateien auf ihrer eigenen Infrastruktur statt in ShareFiles Cloud halten möchten. Wie watchTowr in ihrer Offenlegung anmerkte: “ShareFiles Storage Zone Controller existiert speziell für Organisationen, die ihren Dateien nicht der Infrastruktur von jemand anderem anvertrauen können.”

Die eigentliche Zielgruppe für SZC umfasst Organisationen mit regulatorischen, rechtlichen oder internen Anforderungen, die die Speicherung sensibler Dateien in Cloud-Umgebungen Dritter verbieten. Die Schwachstellenkette bedeutet, dass Organisationen, die diese Architektur zur Wahrung der Datei-Privatsphäre nutzten, in der Zeit zwischen Entdeckung und Patch Server-Infrastruktur betrieben, die für einen unauthentifizierten Angreifer mit Kenntnis der Schwachstelle vollständig zugänglich war.

Das Center for Internet Security veröffentlichte ein Advisory, das die Schwachstellen als geeignet einordnet, vollständige Systemkompromittierung zu ermöglichen.

Umfang Und Patch-Status

Internet-Scans von watchTowr fanden etwa 30.000 öffentlich exponierte Storage Zone Controller-Instanzen. Die ShadowServer Foundation identifizierte rund 700 bestätigte internetseitige Instanzen, hauptsächlich in den USA und Europa.

Die gepatchte Version, SZC 5.12.4, wurde von Progress am 10. März 2026 veröffentlicht. Organisationen, die Version 5.12.3 oder früher betreiben, sind der vollständigen unauthentifizierten Kette ausgesetzt. Progress hat keinen öffentlichen Kommentar zum Ausnutzungsstatus über die Patch-Veröffentlichung hinaus abgegeben.

Was Das Für Die Wahl Von Datei-Tools Bedeutet

Die ShareFile-Schwachstelle veranschaulicht das strukturelle Problem der serverseitigen Dateiverarbeitung für datenschutzsensible Workloads: Dateien, die nicht exponiert werden dürfen, werden auf Servern gespeichert; Server betreiben Software; und Software hat Fehler, die ausgenutzt werden können, bevor Organisationen von der Schwachstelle wissen.

Dieser Fall ist direkter als die meisten. ShareFile SZC wurde speziell von sicherheitsbewussten Organisationen als Alternative zur Vertrauensgewährung gegenüber einem Cloud-Anbieter ausgewählt. Die Angriffskette erfordert keine Anmeldedaten und ist von jedem ausführbar, der den Server erreichen kann. Dateien, die privat bleiben sollten, weil sie lokal gehalten wurden, waren, solange die Schwachstelle ungepacht war, so zugänglich, als hätten sie in einem öffentlichen Bucket gelegen.

Dateiverarbeitung, die vollständig im Browser mit WebAssembly läuft, hinterlässt keinen Server-Footprint. Keine Dateien werden remote gespeichert, kein Speicherpfad kann von einem Angreifer neu konfiguriert werden, und keine Webshell kann hochgeladen werden, weil es keinen Upload-Endpunkt als Ziel gibt. Die ShareFile-Offenlegung ist ein konkretes Beispiel dafür, was browser-seitige lokale Verarbeitung vermeidet: eine gesamte Kategorie von Infrastrukturangriffen, die nicht existiert, wenn die Datei das Gerät nie verlässt.


Quellen