Faille pre-auth ShareFile : 30 000 serveurs exposés
Les chercheurs de watchTowr ont divulgué le 2 avril 2026 deux vulnérabilités chaînées dans Progress ShareFile permettant à des attaquants non authentifiés d'exécuter du code et d'exfiltrer tous les fichiers stockés sur les serveurs affectés. Environ 30 000 instances sont exposées sur l'internet public.
VaultTools · 3 avril 2026
Photo sur Unsplash
Table des matières
- Ce que les chercheurs ont découvert
- Comment fonctionne la chaîne à deux failles
- L’ironie : conçu pour le stockage privé de fichiers
- Périmètre et état des correctifs
- Ce que cela signifie pour le choix des outils de fichiers
- Sources
Ce Que Les Chercheurs Ont Découvert
Le 2 avril 2026, la société de sécurité offensive watchTowr a publié les détails techniques de deux vulnérabilités dans le Storage Zone Controller (SZC) de Progress ShareFile qui, lorsqu’elles sont enchaînées, permettent à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur et d’exfiltrer tous les fichiers stockés dans la zone affectée. Le rapport de BleepingComputer a confirmé qu’aucune authentification n’est requise à aucune étape de l’attaque.
Les vulnérabilités, référencées CVE-2026-2699 et CVE-2026-2701, ont été signalées à Progress entre le 6 et le 13 février 2026. L’éditeur a publié une version corrigée, SZC 5.12.4, le 10 mars 2026. À la date de divulgation publique, aucune exploitation active dans la nature n’avait été confirmée, bien que watchTowr ait noté que la divulgation publique de la chaîne complète « incitera probablement les acteurs malveillants ».
Comment Fonctionne La Chaîne À Deux Failles
La chaîne commence avec CVE-2026-2699, un contournement d’authentification causé par une faille d’Execution After Redirect dans le point d’entrée /ConfigService/Admin.aspx. L’application appelle Response.Redirect() avec un paramètre qui définit la redirection sans mettre fin à l’exécution. Par conséquent, l’interface administrative continue de traiter et d’afficher sa réponse complète malgré la redirection 302, accordant un accès non authentifié aux fonctions d’administration.
Une fois l’accès administrateur établi, un attaquant exploite CVE-2026-2701 pour obtenir l’exécution de code à distance. L’attaque reconfigure le chemin du référentiel de stockage pour pointer vers le répertoire webroot de l’application, puis téléverse un fichier ZIP contenant un webshell ASPX via le point d’entrée /upload.aspx. Comme l’extraction des fichiers préserve les extensions de fichiers, le webshell se retrouve dans le webroot et devient exécutable. Le calcul des signatures HMAC-SHA256 requises pour valider les requêtes est possible grâce aux secrets de zone qui deviennent lisibles après le contournement initial.
Le résultat est un contrôle total du système de stockage de fichiers et la capacité de lire, modifier ou exfiltrer tout document stocké dans la zone affectée.
L’ironie : Conçu Pour Le Stockage Privé De Fichiers
Le Storage Zone Controller de Progress ShareFile est le composant que les organisations déploient lorsqu’elles souhaitent conserver leurs fichiers sur leur propre infrastructure plutôt que dans le cloud de ShareFile. Comme watchTowr l’a noté dans sa divulgation : « Le Storage Zone Controller de ShareFile existe spécifiquement pour les organisations qui ne peuvent pas confier leurs fichiers à l’infrastructure de quelqu’un d’autre. »
Le public cible du SZC inclut les organisations soumises à des exigences réglementaires, juridiques ou internes interdisant le stockage de fichiers sensibles dans des environnements cloud tiers. La chaîne de vulnérabilités signifie que les organisations utilisant cette architecture pour préserver la confidentialité de leurs fichiers exploitaient, durant la période entre la découverte et le correctif, une infrastructure serveur entièrement accessible à un attaquant non authentifié connaissant la faille.
Le Center for Internet Security a publié un avis classant les vulnérabilités comme pouvant permettre une compromission complète du système.
Périmètre Et État Des Correctifs
Les scans internet de watchTowr ont trouvé environ 30 000 instances de Storage Zone Controller exposées publiquement. La ShadowServer Foundation a identifié environ 700 instances confirmées accessibles depuis internet, concentrées principalement aux États-Unis et en Europe.
La version corrigée, SZC 5.12.4, a été publiée par Progress le 10 mars 2026. Les organisations utilisant la version 5.12.3 ou antérieure sont vulnérables à la chaîne pré-authentifiée complète. Progress n’a pas émis de commentaire public sur le statut d’exploitation au-delà de la publication du correctif.
Ce Que Cela Signifie Pour Le Choix Des Outils De Fichiers
La vulnérabilité ShareFile illustre le problème structurel du traitement de fichiers côté serveur pour les charges de travail sensibles à la confidentialité : les fichiers qui ne doivent pas être exposés sont stockés sur des serveurs ; les serveurs font tourner des logiciels ; et les logiciels ont des failles qui peuvent être exploitées avant que les organisations ne sachent que la faille existe.
Ce cas est plus direct que la plupart. ShareFile SZC était spécifiquement choisi par des organisations soucieuses de la sécurité comme alternative à la confiance accordée à un fournisseur cloud. La chaîne d’attaque ne requiert aucune accréditation et est exécutable par quiconque peut atteindre le serveur. Les fichiers destinés à rester privés parce qu’ils étaient conservés en local étaient, tant que la faille n’était pas corrigée, aussi accessibles que s’ils avaient été placés dans un compartiment public.
Le traitement de fichiers qui s’exécute entièrement dans le navigateur grâce à WebAssembly ne laisse aucune empreinte serveur. Aucun fichier n’est stocké à distance, aucun chemin de stockage ne peut être reconfiguré par un attaquant, et aucun webshell ne peut être téléversé car il n’existe aucun point d’entrée de téléversement à cibler. La divulgation ShareFile est un exemple concret de ce que le traitement local côté navigateur évite : toute une catégorie d’attaques d’infrastructure qui n’existe pas si le fichier ne quitte jamais l’appareil.
Sources
- New Progress ShareFile flaws can be chained in pre-auth RCE attacks (BleepingComputer)
- You’re Not Supposed To ShareFile With Everyone (CVE-2026-2699 & CVE-2026-2701) (watchTowr Labs)
- Multiple Vulnerabilities in Progress ShareFile Could Allow for Remote Code Execution (Center for Internet Security)
- Security Vulnerability Fix For ShareFile Storage Zones Controller 5.x (February 2026) (Progress ShareFile Docs)