Progress Software ha emitido una alerta de seguridad de carácter urgente al ordenar a sus clientes apagar inmediatamente los servidores Windows que ejecutan ShareFile Storage Zone Controller, tras detectar lo que la compañía describe como una «amenaza de seguridad externa creíble». La decisión, poco habitual incluso en incidentes de alta gravedad, ha generado preocupación entre administradores de sistemas y profesionales de la ciberseguridad, ya que la empresa aún no ha revelado la naturaleza exacta del problema ni quién podría estar detrás de la amenaza.
Aunque Progress asegura que no existen evidencias de acceso no autorizado a las cuentas o datos almacenados en ShareFile, la medida preventiva de desconectar completamente los servidores afectados indica que el riesgo podría ser considerable. Hasta el momento, la compañía trabaja junto a expertos internos y consultores externos para investigar el incidente y desarrollar una respuesta adecuada.
La situación recuerda a incidentes anteriores relacionados con ShareFile y otros productos de transferencia de archivos administrados por Progress, lo que refuerza la importancia de actuar con rapidez y seguir las recomendaciones oficiales mientras se esclarecen los detalles.
¿Qué ocurrió con ShareFile?
Progress Software confirmó que ha deshabilitado temporalmente el acceso a determinadas cuentas de ShareFile Storage Zone Controller como medida preventiva, mientras continúa la investigación sobre una amenaza de seguridad considerada creíble.
La empresa explicó que la decisión fue tomada por precaución y que notificó inmediatamente a los clientes tras detectar el posible riesgo.
Sin embargo, existen varios aspectos que aún permanecen sin respuesta:
- No se ha identificado públicamente la vulnerabilidad.
- No se ha asignado ningún identificador CVE.
- No se conoce el grupo de amenazas responsable.
- No se ha confirmado si existe explotación activa.
- No se ha indicado cuándo será seguro volver a poner en funcionamiento los servidores.
Esta falta de información ha obligado a muchas organizaciones a activar sus propios protocolos de respuesta a incidentes.
¿Qué sistemas están afectados?
Es importante destacar que no todas las implementaciones de ShareFile están comprometidas.
La medida afecta únicamente a los clientes que utilizan Storage Zone Controller, un componente diseñado para organizaciones que desean mantener sus archivos dentro de su propia infraestructura mientras aprovechan las capacidades de colaboración y gestión de ShareFile en la nube.
Las implementaciones estándar completamente alojadas en la nube por ShareFile no forman parte de esta alerta.
¿Qué es Storage Zone Controller?
Storage Zone Controller es un servidor instalado y administrado por la propia organización.
Su función consiste en actuar como puente entre la infraestructura local y los servicios en la nube de ShareFile, permitiendo que los archivos permanezcan almacenados en centros de datos propios sin renunciar a las funciones de sincronización y colaboración.
Precisamente esta arquitectura implica que el servidor suele encontrarse:
- Expuesto a Internet.
- Ubicado en el perímetro de la red corporativa.
- Accesible desde clientes externos.
- Integrado con sistemas internos de almacenamiento.
Estas características lo convierten en un componente especialmente atractivo para los atacantes.
¿Por qué Progress ordenó apagar completamente los servidores?
Uno de los aspectos que más ha llamado la atención de los especialistas es que Progress no recomendó instalar un parche, sino desconectar totalmente los servidores.
Esta diferencia resulta significativa.
Habitualmente, cuando existe una vulnerabilidad corregida, el fabricante publica una actualización de seguridad y solicita instalarla cuanto antes.
En esta ocasión, la recomendación consiste simplemente en apagar los sistemas.
Este comportamiento puede indicar varios escenarios:
- La vulnerabilidad aún no dispone de una corrección.
- El incidente podría estar relacionado con credenciales comprometidas.
- Se investiga un posible ataque en curso.
- El riesgo podría encontrarse fuera del propio software.
- La empresa continúa evaluando el alcance del incidente antes de publicar un parche.
Aunque ninguna de estas hipótesis ha sido confirmada oficialmente, el cierre preventivo demuestra que Progress considera que mantener los servidores en funcionamiento supone un riesgo superior al impacto operativo de desconectarlos.
La declaración de Progress deja varias incógnitas
La compañía aseguró que no existen indicios de acceso no autorizado a cuentas o datos de ShareFile.
Sin embargo, esta afirmación ha sido interpretada con cautela por parte de la comunidad de ciberseguridad.
La declaración no descarta posibles incidentes relacionados con:
- Los propios servidores Storage Zone Controller.
- Intentos de explotación bloqueados.
- Actividad sospechosa en infraestructuras locales.
- Ataques aún en fase de investigación.
Por ello, numerosos expertos recomiendan tratar cualquier servidor expuesto como potencialmente comprometido hasta disponer de información definitiva.

El incidente salió a la luz en Reddit
La existencia de la alerta comenzó a conocerse públicamente después de que un administrador compartiera en el foro r/sysadmin de Reddit el correo electrónico enviado por Progress a sus clientes el 10 de julio.
Posteriormente, la propia empresa confirmó el incidente mediante su página oficial de estado del servicio.
En dicha actualización, los clientes de Storage Zone Controller aparecían como «No operativos», mientras la investigación permanecía abierta.
Cómo proteger los servidores afectados
Mientras Progress continúa analizando el incidente, los administradores deberían seguir una serie de medidas preventivas.
1. Mantener los servidores apagados
La principal recomendación consiste en respetar la orden del fabricante y mantener desconectados todos los servidores afectados hasta recibir autorización oficial para reactivarlos.
2. Verificar la versión instalada
Aunque no soluciona necesariamente el problema actual, Progress recomienda confirmar que el software se encuentre actualizado.
Las versiones recomendadas son:
- 5.12.4 o superior dentro de la rama 5.x.
- Cualquier versión perteneciente a la serie 6.x.
Estas versiones corrigen vulnerabilidades descubiertas anteriormente, aunque no existe confirmación de que mitiguen la amenaza actual.
3. Considerar el incidente como una posible intrusión
Si el servidor permanecía accesible desde Internet antes del apagado, los equipos de seguridad deberían activar inmediatamente sus procedimientos internos de respuesta a incidentes.
Entre las acciones recomendadas se incluyen:
- Conservar todos los registros del sistema.
- Analizar archivos desconocidos con extensión .aspx.
- Revisar directorios web en busca de modificaciones no autorizadas.
- Inspeccionar rutas de almacenamiento inesperadas.
- Buscar indicadores de compromiso (IoC).
- Evitar asumir que un servidor aparentemente limpio realmente no haya sido comprometido.
ShareFile ya fue objetivo de ataques anteriormente
No es la primera vez que Storage Zone Controller protagoniza un incidente de seguridad importante.
En 2023, cuando ShareFile todavía pertenecía a Citrix, los atacantes explotaron activamente la vulnerabilidad CVE-2023-24489, un fallo crítico que permitía ataques sin autenticación.
La gravedad fue tal que la CISA añadió inmediatamente la vulnerabilidad a su catálogo de vulnerabilidades explotadas activamente (Known Exploited Vulnerabilities).
En aquella ocasión, Citrix también optó por bloquear desde la nube los controladores que permanecían sin actualizar.
La similitud entre ambas respuestas ha incrementado las especulaciones sobre la gravedad del incidente actual.
Progress ya enfrentó la crisis de MOVEit
La experiencia de Progress con incidentes de gran impacto tampoco es nueva.
En 2023, el software MOVEit Transfer, propiedad de la compañía, sufrió uno de los ataques más importantes registrados contra plataformas de transferencia segura de archivos.
La vulnerabilidad zero-day fue explotada por el grupo de ransomware Clop, afectando posteriormente a más de 2.700 organizaciones en todo el mundo.
Desde entonces, cualquier incidente relacionado con productos de Progress genera especial atención entre administradores y responsables de seguridad.
Vulnerabilidades recientes en ShareFile
Además del histórico CVE-2023-24489, durante este año investigadores de watchTowr revelaron dos nuevas vulnerabilidades críticas que afectaban a Storage Zone Controller.
Progress publicó los correspondientes parches en marzo.
No obstante, la empresa ha aclarado que:
- No existe evidencia de que esas vulnerabilidades estén relacionadas con el incidente actual.
- Tampoco se ha informado de explotación activa de dichos fallos.
Esto sugiere que la amenaza actual podría corresponder a un problema completamente diferente.
La importancia de una respuesta rápida
Cuando un fabricante solicita apagar completamente un servicio crítico en lugar de aplicar un parche, la prioridad para las organizaciones debe ser minimizar la superficie de exposición mientras se recopila información adicional.
En este tipo de escenarios resulta esencial:
- Mantener una comunicación constante con el fabricante.
- Aplicar procedimientos de respuesta a incidentes.
- Preservar evidencias para posibles investigaciones.
- Supervisar continuamente los sistemas relacionados.
- Evitar reactivar servicios hasta recibir instrucciones oficiales.
La rapidez con la que una organización responda puede marcar la diferencia entre contener un posible incidente o sufrir una brecha de seguridad de gran impacto.
En fin…
La decisión de Progress Software de ordenar el apagado inmediato de los servidores ShareFile Storage Zone Controller refleja la seriedad de una amenaza que todavía permanece sin identificar públicamente. Aunque la compañía afirma no haber detectado accesos no autorizados a cuentas o datos de ShareFile, la ausencia de un parche y la recomendación de desconectar completamente los sistemas indican que la investigación sigue en curso y que el riesgo potencial no debe subestimarse.
Para las organizaciones que utilizan este componente, la prioridad debe ser seguir las directrices del fabricante, mantener los servidores fuera de línea, conservar las evidencias del sistema y reforzar la monitorización hasta que Progress publique más información. En un contexto donde los ataques contra plataformas de intercambio y almacenamiento de archivos son cada vez más frecuentes, adoptar una estrategia preventiva y una respuesta rápida resulta fundamental para reducir el impacto de posibles incidentes de ciberseguridad.
Fuente: The Hacker News
