.png)
Peneliti keamanan dari watchTowr Labs mengungkap rantai eksploitasi kritis yang menargetkan ShareFile Storage Zone Controller milik Progress Software, sebuah komponen on-premises yang banyak digunakan sebagai gateway berbagi file di lingkungan enterprise dan sektor yang diatur secara ketat. Temuan ini mengungkap dua kerentanan dengan dampak serius yang memungkinkan penyerang mendapatkan kontrol penuh atas server tanpa memerlukan autentikasi sama sekali.
Kerentanan tersebut dilacak sebagai CVE-2026-2699 dan CVE-2026-2701. Kombinasi keduanya membuka jalur eksploitasi yang memungkinkan Remote Code Execution (RCE) secara langsung, menjadikan sistem yang rentan sebagai target bernilai tinggi dalam lanskap ancaman saat ini.
Platform Managed File Transfer (MFT) dalam beberapa tahun terakhir telah menjadi sasaran utama bagi kelompok advanced persistent threat (APT) dan operator ransomware. Serangkaian insiden besar yang melibatkan solusi seperti MOVEit Transfer, Cleo Harmony, dan GoAnywhere MFT menunjukkan pola yang konsisten, di mana pelaku ancaman berfokus pada celah di gateway berbagi file sebagai pintu masuk awal ke jaringan perusahaan.
Dalam konteks ini, ShareFile Storage Zone Controller menjadi target yang sangat menarik. Diperkirakan terdapat sekitar 30.000 instance yang terekspos ke internet publik, menciptakan permukaan serangan yang luas. Sistem ini banyak digunakan oleh organisasi yang memiliki kebutuhan khusus terkait kedaulatan data atau kepatuhan regulasi, sehingga memilih deployment on-premises dibandingkan solusi cloud.
Komponen Storage Zone Controller berfungsi sebagai jembatan antara infrastruktur internal organisasi dengan antarmuka web ShareFile. Ia mengelola alur upload dan download file melalui jaringan internal, sehingga memiliki akses langsung ke data sensitif. Menariknya, kedua kerentanan yang ditemukan sepenuhnya berada pada komponen ini, sehingga deployment berbasis cloud tidak terdampak.
Rantai serangan dimulai dari celah pada panel konfigurasi administrator yang terletak di endpoint /ConfigService/Admin.aspx. Dalam kondisi normal, akses tanpa autentikasi ke endpoint ini akan menghasilkan redirect HTTP 302 ke halaman login sebagai mekanisme pengamanan standar.
Namun, peneliti menemukan kesalahan fatal dalam implementasi kode sumber berbasis C#. Pengembang diketahui mengirimkan parameter boolean bernilai false ke fungsi .Redirect(), yang menyebabkan server tidak menghentikan eksekusi halaman setelah mengirimkan redirect. Kondisi ini dikenal sebagai Execution After Redirect (EAR), sebuah kerentanan klasik namun tetap berbahaya jika tidak ditangani dengan benar.
Eksploitasi terhadap kelemahan ini relatif sederhana. Penyerang hanya perlu mencegat respons HTTP dan menghapus header Location sebelum browser memproses redirect. Dengan demikian, halaman administrator tetap dieksekusi dan ditampilkan sepenuhnya tanpa autentikasi. Hasilnya adalah akses administratif penuh terhadap sistem target.
Setelah mendapatkan akses administrator, tahap kedua eksploitasi memanfaatkan kelemahan dalam mekanisme konfigurasi penyimpanan file. Storage Zone Controller memungkinkan administrator menentukan lokasi direktori untuk menyimpan file yang diunggah. Sistem memang melakukan verifikasi terhadap kemampuan baca dan tulis pada path yang diberikan, tetapi tidak melakukan validasi apakah direktori tersebut aman atau sesuai dengan kebijakan aplikasi.
Ketiadaan validasi ini memungkinkan penyerang mengubah lokasi penyimpanan ke direktori web publik milik aplikasi, seperti C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum. Dengan konfigurasi ini, setiap file yang diunggah akan langsung tersedia di webroot dan dapat diakses melalui browser.
Langkah berikutnya adalah mengunggah file ASPX berbahaya yang berfungsi sebagai web shell, namun disamarkan sebagai file biasa. Setelah file tersebut diunggah, penyerang cukup mengaksesnya melalui browser untuk mendapatkan kontrol jarak jauh penuh terhadap server. Dalam dua langkah sederhana—akses admin tanpa autentikasi dan upload file berbahaya—rantai eksploitasi berhasil diselesaikan.
Kedua kerentanan ini berdampak pada ShareFile Storage Zone Controller versi 5.x yang dibangun di atas framework ASP.NET. Peneliti mengonfirmasi keberadaan celah ini pada versi 5.12.3. Perbaikan telah dirilis oleh Progress Software dalam versi 5.12.4 pada 10 Maret 2026, meskipun tanpa pengumuman publik yang mencolok pada awalnya.
Dari perspektif operasional, kerentanan ini memiliki implikasi yang signifikan. Tidak hanya memungkinkan akses awal tanpa autentikasi, tetapi juga membuka jalur untuk eksekusi kode yang dapat digunakan untuk berbagai tujuan, mulai dari pencurian data hingga deployment ransomware. Mengingat posisi Storage Zone Controller dalam arsitektur jaringan, kompromi terhadap komponen ini dapat memberikan akses luas ke data internal organisasi.
Temuan ini juga memperkuat tren bahwa gateway file sharing dan MFT menjadi titik lemah yang terus dieksploitasi. Sistem-sistem ini sering kali berada di perbatasan antara jaringan internal dan eksternal, menjadikannya target ideal untuk mendapatkan foothold awal. Selain itu, kompleksitas konfigurasi dan kebutuhan integrasi dengan berbagai sistem lain meningkatkan risiko kesalahan implementasi.
Peneliti menekankan bahwa organisasi yang masih menjalankan versi rentan harus menganggap diri mereka berada dalam kondisi berisiko tinggi. Selain melakukan pembaruan ke versi terbaru, langkah respons insiden juga perlu dipertimbangkan, terutama jika sistem telah terekspos ke internet dalam waktu yang lama.
Pemantauan log server web menjadi salah satu indikator awal untuk mendeteksi aktivitas mencurigakan, khususnya permintaan yang menargetkan endpoint konfigurasi seperti /ConfigService/Admin.aspx. Selain itu, audit terhadap direktori webroot untuk mencari file ASPX yang tidak dikenal dapat membantu mengidentifikasi kemungkinan kompromi yang sudah terjadi.
Segmentasi jaringan juga menjadi faktor penting dalam membatasi dampak serangan. Dengan menempatkan gateway file on-premises di belakang aturan firewall yang ketat dan hanya mengizinkan akses dari host terpercaya, organisasi dapat mengurangi eksposur terhadap serangan langsung dari internet.
Kasus ini menunjukkan bagaimana kombinasi dua kelemahan yang tampak sederhana dapat menghasilkan dampak yang sangat besar ketika digabungkan dalam satu rantai eksploitasi. Lebih dari itu, ia menyoroti pentingnya validasi input dan kontrol alur eksekusi dalam pengembangan aplikasi, terutama pada komponen yang memiliki akses langsung ke data sensitif.
Dalam lanskap ancaman saat ini, kecepatan dalam menerapkan patch menjadi faktor krusial. Dengan adanya ribuan instance yang terekspos secara publik, jendela eksploitasi untuk aktor ancaman tetap terbuka selama sistem belum diperbarui. Situasi ini menempatkan organisasi dalam posisi yang rentan, terutama jika mereka mengandalkan sistem on-premises tanpa lapisan proteksi tambahan.
Eksploitasi terhadap ShareFile Storage Zone Controller menambah daftar panjang insiden yang melibatkan platform MFT. Pola yang muncul menunjukkan bahwa pelaku ancaman terus beradaptasi dan mencari celah di infrastruktur yang memiliki nilai strategis tinggi. Bagi tim keamanan, hal ini menuntut pendekatan yang lebih proaktif, tidak hanya dalam merespons kerentanan yang diketahui, tetapi juga dalam mengantisipasi bagaimana komponen kritis dapat disalahgunakan dalam skenario serangan nyata.