سواتي خاندلوال10 يوليو 2026أمن المؤسسة/حادث أمني

طلبت شركة Progress Software من عملاء ShareFile إغلاق خوادم Windows التي تقوم بتشغيل وحدات التحكم في منطقة التخزين الخاصة بهم، مؤكدة ذلك أخبار الهاكر أنها ترد على “تهديد أمني خارجي ذي مصداقية”.

وقامت الشركة بتعطيل الوصول مؤقتًا إلى الحسابات المتأثرة، وهي خطوة تقول إنها اتخذتها “من باب الحذر الشديد” أثناء عملها مع خبراء الأمن الداخلي والخارجي.

وتقول إنه ليس لديها ما يشير إلى الوصول غير المصرح به إلى أي حسابات أو بيانات ShareFile، وأنها أبلغت العملاء بعد علمها بالتهديد.

ما لم تقله منظمة التقدم هو ما هو التهديد أو من يقف وراءه.

أصبح الأمر علنيًا عندما نشر أحد العملاء البريد الإلكتروني للشركة إلى مسؤول النظام في Reddit في 10 يوليو. وأكد التقدم التعطيل في صفحة الحالة الخاصة به، وأدرج عملاء Storage Zone Controller على أنهم “غير عاملين” والحادث قيد التحقيق اعتبارًا من تحديث الساعة 12:12 مساءً بتوقيت شرق الولايات المتحدة.

تتأثر وحدة تحكم منطقة التخزين فقط، وليس حسابات ShareFile القياسية السحابية فقط. وحدة التحكم عبارة عن خادم تديره الشركة بنفسها، بحيث يمكن أن تبقى الملفات على مساحة التخزين الخاصة بها بينما تستمر في استخدام سحابة ShareFile لمشاركتها وإدارتها.

عادةً ما تكون وحدة التحكم على حافة الشبكة ويمكن الوصول إليها عبر الإنترنت. هذا التعرض يجعله مفيدًا وهدفًا. يعد مطالبة العملاء بإيقاف تشغيله بالكامل، بدلاً من مجرد تصحيحه، خطوة ملحوظة.

هذا الاختيار هو في حد ذاته إخبار. إذا كان هناك حل لهذا التهديد، فسوف يطلب التقدم من العملاء تطبيقه؛ يشير أمر الإغلاق إلى عدم وجود أي شيء حتى الآن. وهذا يعني عادةً وجود خلل تم اكتشافه حديثًا وتتسابق الشركة لإغلاقه، على الرغم من أن نفس الخطوة قد تناسب أيضًا تهديدًا لا يمكن للتصحيح معالجته، مثل المفاتيح المسروقة أو مشكلة من جانب Progress.

إن بيانها بأنه لم يتم الوصول إلى أي حسابات أو بيانات هو صياغة دقيقة أيضًا، ولا يستبعد حدوث مشكلة على وحدات التحكم نفسها.

ماذا تفعل الآن

  1. اتبع أمر إيقاف التشغيل أولاً. أبقِ وحدات التحكم المتأثرة في وضع عدم الاتصال حتى يوضح التقدم ما هو التهديد ومتى يكون آمنًا لإعادة التشغيل.
  2. بشكل منفصل، تأكد من أن الإصدار الخاص بك حديث: 5.12.4 أو أحدث على السطر 5.x، أو إصدار 6.x. يؤدي ذلك إلى إغلاق العيوب التي تم إصلاحها في وقت سابق من هذا العام، لكن Progress لم يقل أنه يزيل التهديد الحالي، لذا لا تعامله على أنه إذن بإعادة التشغيل.
  3. إذا كان من الممكن الوصول إلى وحدة التحكم من خلال الإنترنت، فتعامل مع الأمر باعتباره حادثًا محتملاً. احتفظ بالسجلات وابدأ عملية الاستجابة للحوادث، ثم تحقق من وجود ملفات .aspx غير المألوفة في مجلدات الويب ومسارات التخزين التي لم تقم بتعيينها. الخادم ذو المظهر النظيف ليس دليلاً على نظافته.

لقد واجه ShareFile هذا من قبل. في عام 2023، بينما كان المنتج لا يزال مملوكًا لشركة Citrix، استغل المهاجمون ثغرة غير مصادق عليها في نفس وحدة تحكم مناطق التخزين (CVE-2023-24489).

قامت CISA بوضع علامة عليها على أنها مستغلة بشكل نشط، وقامت Citrix بقطع وحدات التحكم غير المصححة من سحابة ShareFile، وهو نفس حظر الوصول الذي فرضه التقدم الآن.

وكانت شركة Progress، التي استحوذت على ShareFile في عام 2024، قد نجت بالفعل من هجوم جماعي لنقل الملفات من جانبها: MOVEit، الذي استغلت مجموعة Clop هجومها صفر يوم 2023 وضرب أكثر من 2700 منظمة.

كان لدى وحدة التحكم في مناطق التخزين أيضًا عيبان خطيران كشفت عنهما شركة watchTowr في أبريل وتصحيح Progress في مارس، على الرغم من أن الشركة لم تربط التهديد الحالي بهما، ولم يتم الإبلاغ عن استغلال أي منهما.

لا يزال السؤال المركزي بلا إجابة: لقد قامت شركة Progress بسحب هذه الأنظمة من الإنترنت وتعمل مع خبراء خارجيين، لكنها لم تذكر ما هو التهديد أو متى يمكن للعملاء إعادتها إلى الإنترنت بأمان.

شاركها.
اترك تعليقاً