**Vulnerabilidades encadenadas en Progress ShareFile permiten exfiltración no autenticada de archivos**
—
### 1. Introducción
A finales de junio de 2024, se han identificado dos vulnerabilidades críticas en Progress ShareFile, una solución ampliamente utilizada en entornos corporativos para la transferencia segura de archivos. Estas vulnerabilidades, cuando se explotan en cadena, posibilitan la exfiltración de archivos sin necesidad de autenticación, lo que supone un riesgo significativo para la confidencialidad e integridad de los datos gestionados por organizaciones de todo el mundo. Dada la popularidad de ShareFile en sectores regulados y entornos empresariales sensibles, el incidente genera una especial preocupación entre responsables de seguridad, administradores de sistemas y consultores de ciberseguridad.
—
### 2. Contexto del Incidente
Progress ShareFile, anteriormente conocido como Citrix ShareFile, es una plataforma de transferencia y gestión segura de archivos diseñada para organizaciones que requieren altos estándares de cumplimiento y confidencialidad. El software es empleado por miles de empresas para compartir documentos internos, datos financieros y otro tipo de información sensible, tanto en entornos on-premise como en la nube.
La explotación de vulnerabilidades en soluciones de transferencia de archivos se ha incrementado notablemente en los últimos años, siendo objetivo recurrente en campañas de ransomware y APTs (Advanced Persistent Threats). Precedentes recientes, como los ataques a MOVEit Transfer (del mismo fabricante) y GoAnywhere MFT, han demostrado el potencial destructivo de este tipo de fallas, con brechas que han afectado a centenares de organizaciones y han supuesto pérdidas económicas multimillonarias.
—
### 3. Detalles Técnicos
Las vulnerabilidades identificadas han sido catalogadas como CVE-2024-37746 y CVE-2024-37747. Ambas afectan a determinadas versiones on-premise de ShareFile StorageZones Controller, componente clave para la gestión de archivos en entornos autoalojados.
– **CVE-2024-37746**: Permite eludir los controles de autenticación mediante la manipulación de peticiones HTTP, derivando en la posibilidad de acceder a rutas y archivos internos protegidos.
– **CVE-2024-37747**: Expone un fallo de validación en la gestión de tokens de sesión, posibilitando la reutilización o creación de tokens válidos por parte de actores externos.
La explotación exitosa de ambas vulnerabilidades, mediante técnicas de chaining, permite a un atacante remoto y no autenticado descargar archivos arbitrarios almacenados en la infraestructura ShareFile. Los vectores de ataque observados incluyen el uso de herramientas automatizadas y frameworks como Metasploit para probar la cadena de explotación en entornos de laboratorio, así como el despliegue de scripts personalizados para la exfiltración masiva de datos.
En términos de TTP, el patrón se alinea con las técnicas MITRE ATT&CK **T1190 (Exploitation of Remote Services)** y **T1041 (Exfiltration Over C2 Channel)**. Como indicadores de compromiso (IoC), se han detectado accesos anómalos en logs de IIS, variaciones en la frecuencia de descargas y generación irregular de tokens de sesión.
Las versiones afectadas incluyen StorageZones Controller 5.12.0 y anteriores, aunque se recomienda verificar la matriz de versiones publicada por el fabricante en función del despliegue específico.
—
### 4. Impacto y Riesgos
El impacto potencial de estas vulnerabilidades es severo: un atacante podría extraer información confidencial, contratos, datos personales y documentos financieros sin dejar apenas rastro, comprometiendo tanto la privacidad de los usuarios como la competitividad de la empresa. Dado que la explotación no requiere credenciales válidas, expone incluso a aquellas organizaciones con políticas de autenticación robustas.
Según datos preliminares, más del 20% de los entornos ShareFile on-premise a nivel global permanecen sin parchear una semana después de la publicación del aviso, y ya se han observado intentos de explotación en honeypots gestionados por equipos de threat intelligence.
El riesgo de incumplimiento normativo es elevado, especialmente en Europa bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, que exigen la protección adecuada de los datos personales y la notificación de brechas en plazos estrictos.
—
### 5. Medidas de Mitigación y Recomendaciones
Progress ha publicado actualizaciones de emergencia para StorageZones Controller, por lo que la recomendación prioritaria es aplicar los parches correspondientes de forma inmediata. Para entornos donde la actualización no es viable a corto plazo, se aconseja:
– Restringir el acceso a ShareFile mediante firewalls y listas de control de acceso (ACL).
– Monitorizar proactivamente los logs de acceso y descargas inusuales.
– Revocar y regenerar todos los tokens de sesión existentes.
– Realizar auditorías forenses en busca de actividad sospechosa desde el 1 de junio de 2024.
Se recomienda asimismo revisar los playbooks de respuesta ante incidentes y establecer canales de comunicación directa con la autoridad competente en caso de detección de exfiltración.
—
### 6. Opinión de Expertos
Analistas de ciberseguridad y miembros de equipos de respuesta a incidentes destacan la peligrosidad de la cadena de explotación, señalando que «la combinación de bypass de autenticación y gestión deficiente de tokens en una solución de transferencia de archivos es la tormenta perfecta para la exfiltración masiva». Investigadores independientes alertan de que la publicación de exploits funcionales en repositorios públicos acelerará la explotación automatizada en las próximas semanas.
—
### 7. Implicaciones para Empresas y Usuarios
Para los CISOs y responsables de cumplimiento, este incidente representa un claro recordatorio de la necesidad de inventariar y mantener actualizadas todas las soluciones críticas, especialmente aquellas que gestionan información sensible. La exfiltración de archivos puede desencadenar investigaciones regulatorias, sanciones económicas (de hasta 20 millones de euros o el 4% de la facturación anual, en el caso del GDPR) y un grave daño reputacional.
Los usuarios finales deben estar informados de los riesgos y, en la medida de lo posible, evitar almacenar información confidencial en plataformas cuya seguridad no haya sido verificada recientemente.
—
### 8. Conclusiones
La cadena de vulnerabilidades descubierta en Progress ShareFile evidencia la criticidad de mantener una vigilancia constante sobre las aplicaciones de transferencia de archivos, especialmente en un contexto de creciente sofisticación de los actores de amenazas. La pronta aplicación de parches, la monitorización proactiva y la formación continua del personal de seguridad son esenciales para mitigar riesgos y garantizar la resiliencia de las organizaciones frente a este tipo de incidentes.
(Fuente: www.bleepingcomputer.com)