Progress roept klanten van bestandsdeelproduct ShareFile op om de Windows-servers met een zelf-gehoste Storage Zone Controller onmiddellijk uit te zetten, vanwege een "geloofwaardige" externe dreiging waarvoor het bedrijf nog geen patch heeft.
Er is dus geen update om te installeren en door te gaan: de enige maatregel die Progress vandaag geeft is de stekker eruit. Voor een Nederlandse of Belgische organisatie die ShareFile zelf op locatie draait, is dat een directe operationele keuze, geen routineklus. Zolang de Storage Zone Controller aanstaat, staat hij bloot; zet je hem uit, dan ligt je bestandsdeling plat. En met de Cyberbeveiligingswet die ook niet-kritieke mkb'ers via de keten-eis raakt, is zo'n incident allang niet meer alleen een zaak van je systeembeheerder.
Wat Progress precies vraagt
De oproep geldt specifiek voor de Storage Zone Controller: een Windows-server die klanten zelf beheren om bestanden lokaal te houden terwijl ze de cloud van ShareFile gebruiken voor delen en beheer. Progress schrijft dat je de server met je Storage Zone Controllers handmatig moet uitzetten als "kritieke extra stap" om je data te beschermen, en heeft uit voorzorg de toegang tot getroffen accounts tijdelijk geblokkeerd.
De cloud-versie van ShareFile is niet geraakt; alleen de zelf-gehoste opstelling op locatie. Progress zegt op dit moment geen aanwijzingen te hebben van ongeautoriseerde toegang tot accounts of data. Wel is er nog geen patch beschikbaar en geen CVE-nummer toegekend, en beloofde het bedrijf binnen 24 uur een nieuwe update. Technische details over het lek zijn niet vrijgegeven.
Waarom dit aan MOVEit doet denken
De reflex om dit met MOVEit te vergelijken is niet toevallig. MOVEit Transfer is ook een Progress-product, en werd in 2023 via een zero-day massaal misbruikt door de Clop-bende, die daarmee duizenden organisaties trof. Progress kocht ShareFile eind 2024 voor 875 miljoen dollar, uitdrukkelijk als aanvulling op datzelfde MOVEit; het bracht er zo'n 86.000 klanten mee binnen, vaak uit sectoren die met gevoelige data werken zoals de zorg en de financiële dienstverlening.
De blootstelling is concreet. Volgens een scan van de Shadowserver Foundation staan er wereldwijd ongeveer 784 ShareFile-installaties direct aan het internet, met de Verenigde Staten en Duitsland voorop. Eerder dit jaar dichtte Progress al twee kritieke lekken in ShareFile: een authenticatie-omzeiling (CVE-2026-2699) en remote code execution (CVE-2026-2701), verholpen in versie 5.12.4. Die patch lost de huidige dreiging niet op.
Wat een beheerder nu moet doen
Draai je ShareFile volledig in de cloud, dan hoef je niets te doen. Draai je een Storage Zone Controller op eigen servers, dan is het advies helder: zet de server uit en wacht op de aangekondigde update van Progress, hoe ongemakkelijk het platleggen van je bestandsdeling ook is. Controleer intussen welke versie je draait en houd de communicatie van Progress in de gaten. De situatie ontwikkelt zich per uur.
Wat deze zaak vooral laat zien, is hoe zwaar de knop "uitzetten" weegt als er geen patch is. Patchen is vervelend maar routine; een kritiek systeem urenlang platleggen zonder te weten waartegen je je beschermt, is een bedrijfsbeslissing. En het is een terugkerend patroon: software die je zelf op locatie draait, is precies het soort centrale schakel die één keer omvalt en een hele keten meesleurt, zoals bleek toen één gekaapte SimpleHelp-server het complete uitbestede IT-beheer kon besmetten. Bestandsuitwisseling zit vaak in dat hart. Wie zulke systemen draait, doet er goed aan nu al te weten wie de knop mag omzetten, en hoe lang het bedrijf zonder kan.
Veelgestelde vragen
Grip op je eigen systemen
Zelf software op locatie draaien geeft controle, maar alleen als iemand het beheert, monitort en bij een incident weet wat te doen. Ik denk met je mee, ontwerp en bouw die opzet end-to-end, self-hosted waar dat kan, zodat je niet in het donker staat als het spant.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

