Progress ยืนยันช่องโหว่ Zero-Day ใน ShareFile พร้อมออกแพตช์แก้ไข

ยอดเข้าชม: 55 views

390/69 (IT) ประจำวันพฤหัสบดีที่ 16 กรกฎาคม 2569

Progress Software ยืนยันการสั่งปิดระบบ ShareFile Storage Zone Controller ก่อนหน้านี้เกี่ยวข้องกับช่องโหว่ zero-day ระดับ High ในผลิตภัณฑ์ดังกล่าว พร้อมออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่แล้ว โดย Storage Zone Controller เป็นเซิร์ฟเวอร์ Windows ที่ลูกค้าบริหารจัดการเอง เพื่อให้สามารถจัดเก็บไฟล์ไว้ในระบบภายในองค์กร ขณะที่ยังใช้แพลตฟอร์ม ShareFile สำหรับการยืนยันตัวตน การกำหนดสิทธิ์ การตรวจสอบ และการทำงานร่วมกัน

รายงานระบุว่า ช่องโหว่ดังกล่าวเป็นช่องโหว่ประเภท Path Traversal ที่กระทบ ShareFile Storage Zone Controller เวอร์ชัน 5.x และ 6.x ทั้งหมด โดยผู้ใช้ที่ผ่านการยืนยันตัวตนในระดับผู้ดูแลระบบอาจสามารถอ่านไฟล์ที่บัญชีบริการของแอปพลิเคชันเข้าถึงได้ เขียนข้อมูลไปยังไดเรกทอรีต่าง ๆ หรือสำรวจโครงสร้างไฟล์บนเซิร์ฟเวอร์ได้ ทั้งนี้ Progress ระบุว่าได้สำรองหมายเลข CVE สำหรับช่องโหว่นี้แล้ว แต่จะเผยแพร่รายละเอียดเพิ่มเติมในภายหลัง เพื่อให้ลูกค้ามีเวลาอัปเดตระบบก่อนที่ข้อมูลทางเทคนิคจะถูกเปิดเผยในวงกว้าง

Progress ได้ออก ShareFile Storage Zone Controller เวอร์ชัน 5.12.5 และ 6.0.2 เพื่อแก้ไขช่องโหว่ดังกล่าว และแนะนำให้ลูกค้าติดตั้งอัปเดตโดยเร็ว ก่อนนำ Storage Zone Controller กลับมาออนไลน์อีกครั้ง ผู้ดูแลระบบควรตรวจสอบเวอร์ชันที่ใช้งาน จำกัดการเข้าถึงเซิร์ฟเวอร์จากอินเทอร์เน็ตเท่าที่จำเป็น ตรวจสอบ log การเข้าถึงและกิจกรรมของบัญชีผู้ดูแลระบบ ตรวจหาไฟล์หรือการเปลี่ยนแปลงผิดปกติในไดเรกทอรีของระบบ และทบทวนสิทธิ์ของบัญชีบริการที่เกี่ยวข้อง ทั้งนี้ Progress ระบุว่ายังไม่มีข้อบ่งชี้ว่ามีการเข้าถึงบัญชีหรือข้อมูลลูกค้าโดยไม่ได้รับอนุญาต

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/progress-confirms-sharefile-zero-day-flaw-behind-storage-zone-shutdown/