🔍 Contexte

Publié le 2 avril 2026 par watchTowr Labs, cet article détaille la découverte et l’exploitation de deux vulnérabilités critiques dans Progress ShareFile Storage Zone Controller (branche 5.x), un composant on-premises permettant aux entreprises de stocker leurs fichiers sur leur propre infrastructure tout en utilisant l’interface SaaS ShareFile. Environ 30 000 instances sont exposées sur Internet.

🐛 Vulnérabilités identifiées

  • CVE-2026-2699 / WT-2026-0006 : Contournement d’authentification via une faille de type CWE-698 (Execution After Redirect / EAR). La fonction RedirectAndCompleteRequest() appelle Response.Redirect() avec le flag booléen false, ce qui ne termine pas l’exécution de la page. Le contenu de /ConfigService/Admin.aspx est ainsi rendu malgré la redirection 302 vers la page de login.

  • CVE-2026-2701 / WT-2026-0007 : Exécution de code à distance post-auth (rendue pré-auth grâce au bypass). L’attaquant peut reconfigurer le chemin de stockage (Network Share Location) vers le répertoire webroot de l’application (ex: C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum), puis uploader un fichier ZIP contenant un webshell ASPX via le paramètre unzip=true de l’endpoint /upload.aspx. Les fichiers extraits conservent leur extension d’origine.

⛓️ Chaîne d’exploitation complète (pré-auth RCE)

  1. Accéder à /ConfigService/Admin.aspx et intercepter la réponse pour supprimer le header Location (bypass EAR)
  2. Modifier le champ Primary Zone Controller pour pointer vers une zone malveillante contrôlée par l’attaquant (la validation de l’ancienne passphrase n’est pas effectuée)
  3. Modifier la passphrase et récupérer le paramètre TempData2 via /ConfigService/api/StroageZoneConfig
  4. Déchiffrer le Zone Secret (AES avec sel codé en dur p3510060xfZ2s9)
  5. Calculer le HMAC-SHA256 pour le paramètre h de la requête d’upload
  6. Uploader un ZIP contenant un webshell .aspx avec unzip=true vers le webroot
  7. Accéder au webshell déposé

🛠️ Versions affectées et correctif

  • Versions affectées : StorageCenter 5.x, spécifiquement jusqu’à 5.12.3
  • Correctif disponible : version 5.12.4, publiée le 10 mars 2026
  • La branche 6.x (.NET Core) n’est pas concernée par ces vulnérabilités

📋 Type d’article

Il s’agit d’une analyse technique approfondie publiée par watchTowr Labs après levée d’embargo, incluant la description du code vulnérable, la chaîne d’exploitation complète, une timeline de divulgation coordonnée avec Progress, et un générateur d’artefacts de détection (DAG).

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1083 — File and Directory Discovery (Discovery)
  • T1222 — File and Directory Permissions Modification (Defense Evasion)
  • T1560 — Archive Collected Data (Collection)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1565.001 — Stored Data Manipulation (Impact)

IOC

  • CVEs : CVE-2026-2699
  • CVEs : CVE-2026-2701
  • Chemins : C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum
  • Chemins : C:\inetpub\wwwroot\ShareFile

Malware / Outils

  • ASPX Webshell (backdoor)

🔗 Source originale : https://labs.watchtowr.com/youre-not-supposed-to-sharefile-with-everyone-progress-sharefile-pre-auth-rce-chain-cve-2026-2699-cve-2026-2701/