AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Progres Software ordena el apagado inmediato de servidores ShareFile ante amenaza crítica de seguridad**

### 1. Introducción

La semana pasada, Progress Software, proveedor conocido por su solución de intercambio seguro de archivos ShareFile, ha alertado a sus clientes sobre una amenaza de seguridad crítica que afecta a los servidores Windows que ejecutan los Storage Zone Controllers. La compañía ha dado el inusual paso de recomendar el apagado inmediato de estos sistemas y ha deshabilitado temporalmente el acceso a las cuentas afectadas. Este incidente pone de relieve la creciente sofisticación de las amenazas dirigidas a infraestructuras críticas de compartición segura de datos empresariales.

### 2. Contexto del Incidente

La advertencia de Progress Software llega tras la identificación de una amenaza externa “creíble” que pone en riesgo la integridad y confidencialidad de los datos gestionados por ShareFile, usado por miles de organizaciones para el intercambio seguro de información sensible. Los Storage Zone Controllers son componentes clave en la arquitectura de ShareFile, especialmente en entornos que requieren almacenamiento local o híbrido, permitiendo a las empresas mantener el control físico sobre sus datos y cumplir con normativas como GDPR o NIS2.

La decisión de desactivar el acceso a los servicios afectados se ha tomado, según la compañía, “por una extrema precaución” mientras los equipos de ciberseguridad internos y externos trabajan en la investigación y contención del incidente.

### 3. Detalles Técnicos

Hasta el momento, Progress Software no ha publicado detalles exhaustivos sobre la vulnerabilidad o el vector de ataque específico, pero fuentes cercanas a la investigación apuntan a un potencial fallo crítico que permite la ejecución remota de código (RCE) o la elevación de privilegios sobre los Storage Zone Controllers desplegados en Windows Server. En anteriores incidentes similares se han explotado vulnerabilidades como CVE-2023-24489, que permitía el acceso no autenticado y la descarga de archivos arbitrarios.

En cuanto a los TTPs (Tactics, Techniques and Procedures) identificados, se alinean con técnicas MITRE ATT&CK tales como:

– **T1190 (Exploitation of Public-Facing Application)**
– **T1078 (Valid Accounts)**
– **T1040 (Network Sniffing)**
– **T1059.003 (Command and Scripting Interpreter: Windows Command Shell)**

Los indicadores de compromiso (IoC) preliminares incluyen conexiones inusuales desde direcciones IP externas, creación de cuentas administrativas no reconocidas y modificaciones en los registros de auditoría de ShareFile.

Cabe mencionar que, en incidentes previos contra entornos ShareFile, se han utilizado frameworks como Metasploit y Cobalt Strike para la explotación y movimiento lateral dentro de la infraestructura comprometida.

### 4. Impacto y Riesgos

El impacto potencial de esta amenaza es elevado, considerando que ShareFile es utilizado por organizaciones altamente reguladas (sector financiero, salud, legal, etc.) para la transferencia de datos críticos. La explotación de la vulnerabilidad podría permitir a los atacantes:

– Acceso y exfiltración de datos confidenciales almacenados en Storage Zones.
– Despliegue de ransomware o malware persistente en servidores críticos.
– Compromiso de credenciales y escalada de privilegios a nivel de dominio.
– Generación de brechas de cumplimiento en materia de GDPR y NIS2, con posibles sanciones económicas que pueden alcanzar hasta el 4% de la facturación anual global.

Según estadísticas de mercado, ShareFile gestiona mensualmente más de 100 millones de archivos para más de 65.000 clientes a nivel global, lo que amplifica el potencial de exposición.

### 5. Medidas de Mitigación y Recomendaciones

Progress Software recomienda a todos los clientes afectados:

– Apagar de inmediato los servidores Windows que ejecutan Storage Zone Controllers.
– Revisar los registros de acceso y actividad en busca de IoC relacionados.
– Cambiar todas las credenciales administrativas asociadas a las Storage Zones.
– Aplicar de forma prioritaria los parches y actualizaciones de seguridad que la compañía publique en las próximas horas.
– Implementar segmentación de red y endurecimiento de controles de acceso a nivel de firewall.
– Realizar un análisis forense exhaustivo de los sistemas potencialmente comprometidos.

Se aconseja a los equipos SOC y administradores de sistemas monitorizar activamente sus infraestructuras y mantener comunicación directa con los canales de soporte de Progress Software.

### 6. Opinión de Expertos

Analistas de amenazas y consultores de ciberseguridad coinciden en que la reacción proactiva de Progress Software es adecuada, aunque subrayan la necesidad de mayor transparencia y publicación de detalles técnicos para facilitar la identificación y respuesta de los equipos defensivos. “La rapidez en la notificación y la suspensión de servicios críticos puede ser determinante para evitar una brecha masiva, pero la falta de información técnica dificulta la evaluación independiente del alcance”, señala un CISO de una empresa del IBEX 35.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que dependen de ShareFile deben prepararse para interrupciones operativas y revisar sus estrategias de respaldo y continuidad de negocio. La exposición de datos sensibles podría desencadenar investigaciones regulatorias y daños reputacionales significativos. Además, este incidente pone en relieve la importancia de la gestión proactiva de vulnerabilidades y el despliegue de arquitecturas seguras en aplicaciones de compartición de archivos.

### 8. Conclusiones

El incidente que afecta a ShareFile es un recordatorio de la criticidad de los sistemas de transferencia de archivos y el atractivo que suponen para los actores de amenazas. La respuesta de Progress Software, aunque drástica, apunta a la gravedad del riesgo y a la necesidad de colaboración entre proveedores y clientes para contener posibles brechas. En un contexto cada vez más regulado y con amenazas en constante evolución, la ciberresiliencia y la capacidad de respuesta rápida son factores clave para minimizar el impacto de incidentes como este.

(Fuente: feeds.feedburner.com)