Progress 公司近期發出緊急通知,要求所有使用 ShareFile 的客戶立即關閉其運行的 Storage Zone Controller 伺服器。這次事件的核心在於一個被定義為可信外部安全威脅的風險,導致官方採取了極端且罕見的應對措施:直接要求客戶將伺服器離線,而非僅僅是更新補丁。
理解 Storage Zone Controller 的角色與風險
對於不熟悉 ShareFile 架構的工程師來說,首先要理解 Storage Zone Controller 是什麼。這是一種混合雲部署模式,允許企業在自己的內部網路中運行一台 Windows 伺服器來管理檔案儲存。簡單來說,檔案實體儲存在企業自己的硬碟中,但透過 ShareFile 的雲端控制面板來進行分享與管理。
這種設計解決了企業對資料主權與合規性的需求,但也帶來了巨大的安全挑戰。因為 Storage Zone Controller 通常部署在網路邊緣且必須對網際網路開放,以便雲端端點能與內部儲存同步。這意味著它直接暴露在公網上,成為攻擊者的首要目標。
為何這次要求關閉伺服器而非更新補丁?
在一般的安全漏洞處理流程中,廠商通常會發布更新補丁並要求用戶升級。然而,這次 Progress 要求直接關閉伺服器,這在實務上釋放了一個強烈信號:目前可能還沒有可用的補丁,或者該威脅並非單純的軟體漏洞所能解決。
如果是一個已知漏洞,官方會提供修復版本;但要求全面離線,通常意味著這是一個零日漏洞(Zero-day Vulnerability,指尚未被廠商發現或尚未有修復方案的漏洞),或者是發生了更嚴重的金鑰洩漏或基礎設施入侵。
實務應對指南與鑑識建議
面對此類緊急通知,維運與安全工程師應採取以下步驟:
首先,優先執行關閉指令。在官方明確說明威脅本質並確認安全之前,不要嘗試重新啟動伺服器。
其次,檢查版本狀態。雖然目前的威脅尚未明確,但應確認伺服器是否已更新至 5.12.4 或 6.x 以上版本。雖然這不能保證能抵禦本次威脅,但能排除今年早前已修復的舊漏洞。
第三,啟動事件響應流程(Incident Response)。由於控制器直接暴露於公網,應假設該伺服器可能已被入侵。建議保留完整的系統日誌(Logs)以供日後分析,並重點檢查 Web 資料夾與儲存路徑中是否出現異常的 .aspx 檔案。在 Windows 環境中,攻擊者經常透過上傳惡意 .aspx 檔案來建立 Web Shell,從而獲取伺服器控制權。
歷史脈絡與反思
ShareFile 並非首次遭遇此類危機。2023 年時,該產品曾出現過一個未經身分驗證即可利用的漏洞(CVE-2023-24489),當時 CISA 等安全機構也將其列為被積極利用的漏洞。此外,Progress 旗下另一個傳輸產品 MOVEit 在 2023 年也遭遇了大規模的零日漏洞攻擊。
這類事件提醒我們,任何位於網路邊緣且擁有高權限存取儲存設備的組件,都是極高風險的攻擊面。在設計系統時,應盡量減少暴露在公網的服務,並實施嚴格的網路分段與監控。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。