企业文件传输平台再成噩梦:3万服务器裸奔在互联网
一份迟到42天的补丁,和700台公网”敞篷跑车”
2026年4月2日,网络安全圈刷屏了一条消息:Progress Software 旗下企业文件传输平台 ShareFile 被发现两个严重漏洞,CVSS 评分分别为9.8和9.1。
但鲜为人知的是,补丁早在2026年3月10日就已发布。而 PoC 代码在4月2日公开时,全球仍有数百台 Storage Zones Controller 赤裸裸地暴露在公网,没有任何防护。
这不是孤例。从2021年的 Accellion、2023年的 MOVEit,到今天的 ShareFile,企业文件传输平台已经成为勒索软件团伙的”黄金赛道”。一次漏洞披露,往往意味着数千家企业的数据已在刀锋上跳舞。
为什么受伤的总是文件传输软件?
要理解这次漏洞的严重性,得先明白文件传输平台在企业 IT 架构中的特殊位置。
ShareFile 是 Progress Software 面向大中型企业的文档协作平台,核心卖点之一是”Storage Zones Controller”——允许企业把数据存在自己的数据中心或私有云,而不是厂商的公共云。这满足了金融、医疗、政府等敏感行业对数据主权的硬性要求。
但这个设计也意味着:企业的核心数据——合同、财报、知识产权、客户资料——全部流经这些文件传输服务器。它们不是边角设备,而是数据咽喉。
这正是勒索软件团伙最感兴趣的资产。Clop 勒索组织深谙此道:2021年用 Accellion FTA 的零日漏洞撕开数百家企业,2023年用 MOVEit Transfer 的漏洞拿下全球数千家政府机构和跨国公司,2024年又盯上了 Cleo。这条产业链已经非常成熟——找到漏洞、批量利用、数据窃取、勒索谈判。
ShareFile 恰好站在这条赛道的新位置上。
两个漏洞,一整把钥匙
这次 watchTowr Labs 披露的问题,不是某一个缺陷,而是一套”组合拳”。
第一个:CVE-2026-2699,认证绕过,CVSS 9.8。
漏洞出在 Storage Zones Controller 的 ASP.NET 应用层。当系统执行 Response.Redirect(url, false) 时,false 参数意味着重定向指令发出后,当前页面的代码执行并不会立即终止——这就是 CWE-698 所定义的”Execution After Redirect”(EAR)缺陷。
攻击者只需要构造一个特定的 HTTP 请求,直接访问 /ConfigService/Admin.aspx 管理后台。系统以为你要跳转到登录页,但实际上管理界面的代码已经在你眼前执行完了,认证检查形同虚设。
绕过认证之后,攻击者能做什么?几乎所有事情:修改文件存储路径、篡改区域加密密钥、关闭安全防护机制。管理后台的每一项配置,都成了攻击者的武器。
第二个:CVE-2026-2701,远程代码执行,CVSS 9.1。
有了管理权限,下一步是执行代码。
Storage Zones Controller 的文件上传与解压功能存在严重的路径校验缺失。攻击者上传一个精心构造的压缩包,利用解压功能将恶意 ASPX 后门文件写入 Web 根目录,再通过访问这个后门触发任意代码执行。
攻击链到这里已经完整:认证绕过 → 拿到管理后台 → 修改配置获取内部密钥 → 上传 webshell → 服务器完全沦陷。
整个过程不需要任何用户交互,不需要预先拥有任何账号。这叫”预认证远程代码执行”(Pre-Auth RCE)——网络安全领域最危险的漏洞类型,没有之一。
42天的”安全窗口”
watchTowr 的时间线很有意思。
2026年2月6日,他们向 Progress 安全团队披露了第一个漏洞。2月13日披露了第二个。2月18日,Progress 确认了完整的攻击链。2月26日,CVE 编号正式分配,约定4月2日解除信息披露 embargo。
3月10日,Progress 发布修复版本 5.12.4。
4月2日,漏洞细节公开,watchTowr 发布完整技术报告和 Python PoC。
这意味着:补丁发布了22天后,技术细节和利用代码才公之于众。这是一段宝贵的”修复窗口期”。但问题是,在这22天里,全球有多少企业完成了升级?
根据 ShadowServer 基金会的监测,截至4月2日公开时,全球仍有约700至784台可公网访问的 Storage Zones Controller 实例处于活跃状态,其中大部分位于美国和德国。按 watchTowr 的更宽泛扫描口径,受影响的互联网暴露设备约3万台。
补丁已出,武器已公开,而靶子还立在那里。
不是第一次,也不会是最后一次
把时间线拉长,ShareFile 漏洞只是这条”文件传输平台沦陷史”上的一个新注脚。
2021年,Clop 攻击 Accellion FTA,利用老旧服务器的零日漏洞,导致全球数百家企业数据泄露,包括能源巨头 Shell、大型律所 Jones Day、新西兰储备银行。
2023年,Clop 卷土重来,攻击 MOVEit Transfer(MIG/migration 漏洞),波及美国教育部、英国电信、BBC、德勤、英国航空,以及数十家美国州政府健康数据系统。据估算,超过7700万人受此次事件影响,是当年最大的数据泄露事件之一。
2024年,同一攻击模式在 Cleo 文件传输软件上重演。
每一起事件的剧本都惊人相似:厂商发现漏洞 → 发布补丁 → 部分企业未及时修复 → 攻击者批量扫描未打补丁的系统 → 数据窃取 → 勒索。
为什么总有企业来不及打补丁?因为这些 Storage Zones Controller 往往是”隐形资产”——它们部署在私有云或本地数据中心,不在常规的互联网资产扫描范围内,安全团队的补丁管理流程经常遗漏它们。而且,这类关键基础设施重启升级需要业务窗口,一拖就是几个月。
攻击者比任何人都清楚这一点。
你的 ShareFile 打补丁了吗?
截至目前,暂无野外主动利用的公开报告。但这不代表安全。
watchTowr 的 PoC 已经发布,检测工具也已公开,攻击者跟进利用只是时间问题。而一旦 Clop 或其他勒索组织将这两个漏洞武器化,3万台暴露设备就是3万个潜在目标。
最直接的补救措施是升级到 Storage Zones Controller 5.12.4,或一步到位迁移到6.x分支(基于 .NET Core 重构,完全不受这两个漏洞影响)。如果短期内无法升级,至少应该将 /ConfigService/Admin.aspx 等管理端点从公网隔离,通过防火墙限制访问来源 IP。
更长期来看,这次漏洞再次提醒一个老生常谈的道理:企业文件传输平台不是”工具软件”,而是数据要道。对它们的资产梳理、版本审计、监控告警,应该与数据库和身份认证系统处于同等优先级。
毕竟,Clop 已经用三次大规模攻击证明:文件传输软件一次沦陷,就是数以千计的企业同时遭殃。
信息来源