Progress ShareFile-servers via kritieke kwetsbaarheid volledig over te nemen

In dit artikel:

Securityonderzoekers hebben twee gaten in Progress ShareFile openbaar gemaakt die samen het mogelijk maken voor ongeauthenticeerde aanvallers om servers over te nemen. Het securitybedrijf watchTowr meldde de kwetsbaarheden begin februari aan Progress; op 10 maart bracht Progress patches uit. Details zijn inmiddels publiek gemaakt.

Het gaat om twee afzonderlijke fouten die gecombineerd tot remote code execution (RCE) leiden: CVE-2026-2699 is een authenticatie-omzeiling veroorzaakt door een “Execution After Redirect”-probleem waarbij de admin-interface alsnog laadt als een redirect wordt geblokkeerd; CVE-2026-2701 maakt het mogelijk dat een geauthenticeerde gebruiker een kwaadaardig bestand (bijv. een webshell) uploadt en uitvoert. Progress zegt geen melding te hebben van actief misbruik. Historisch zijn vergelijkbare file-transferproducten wel vaak doelwit geweest bij grootschalige aanvallen.

Onderzoekers van The Shadowser Foundation troffen 784 unieke ShareFile-servers aan die vanaf het internet bereikbaar zijn, waarvan 38 in Nederland; watchTowr stelt dat in totaal circa 30.000 ShareFile-instanties publiek toegankelijk zijn. Het is onbekend hoeveel systemen de maart-patch hebben geïnstalleerd.

Aanbeveling voor beheerders: installeer de beveiligingsupdates van 10 maart direct, beperk toegang tot admin-interfaces via netwerkfilters of VPN, controleer logs op verdachte uploads/activiteit en scan op ongeautoriseerde webshells. Shareservice-omgevingen verdienen extra aandacht gezien eerdere grootschalige misbruiken.