Cosa ha chiesto Progress ai clienti
L'istruzione di Progress Software è stata netta: spegnere la macchina. Il 10 luglio 2026, con una copertura più ampia il giorno dopo, agli amministratori con ShareFile e Storage Zone Controller on-premise è stato chiesto di spegnere fisicamente quei controller per una minaccia che il fornitore ha definito credibile.
Non c'è patch da applicare, né CVE con un nome da seguire, né dettaglio pubblico sulla minaccia stessa. Progress ha inoltre chiarito che bloccare l'accesso a livello cloud non basta. L'esposizione è il controller stesso, il dispositivo che sta dentro la rete del cliente, e l'unica indicazione sul tavolo è smettere di eseguirlo.
Una vulnerabilità Progress di gravità 9,8, CVE-2026-2699, circola in rete, ma Progress non l'ha collegata ufficialmente a questo avviso. Per un titolare la posizione pratica è semplice e scomoda: un fornitore fidato dice che lo stato più sicuro del suo prodotto è spento.
Perché 'spegnerlo' è meglio che 'aspettare una patch'
Staccare la spina è la mossa onesta quando non c'è nulla da correggere. Uno spegnimento rimuove subito la superficie d'attacco, mentre aspettare invita esattamente lo scenario che il settore ha già vissuto con MOVEit, il precedente prodotto Progress per il trasferimento di file la cui crisi del 2023 ha scatenato una delle più grandi ondate di violazioni in Europa.
Quel precedente è il motivo per cui questo avviso pesa oltre una singola linea di prodotto. La stessa categoria di software fidato per il trasferimento di file, posta nel punto di giunzione dove documenti sensibili passano tra partner, ha ora prodotto due emergenze dichiarate dal fornitore, dallo stesso fornitore. Quando la soluzione non è disponibile, l'unica leva che un titolare controlla è la disponibilità, e spegnere il servizio è l'unica azione che nessun aggressore può superare in velocità.
L'esercitazione sul rischio di terze parti che ti devi
La lezione qui non è questo singolo prodotto. È che i tuoi fornitori di trasferimento gestito di file e di condivisione di file sono un rischio di terze parti concentrato, e che un'istruzione improvvisa di spegnere un sistema in produzione è un'esercitazione che dovresti già saper eseguire sotto NIS2 e DORA.
Entrambi i regimi trattano un evento così, innescato dal fornitore, come un incidente di terze parti soggetto a notifica, e il termine può partire prima che una compromissione sia confermata. Ciò significa che le domande che oggi vale la pena rispondere non riguardano solo ShareFile: quali fornitori potrebbero mandarti domani lo stesso messaggio, chi ha l'autorità di spegnere un sistema entro un'ora, e quanto in fretta potresti presentare la notifica che la legge si aspetta.
Fai l'esercitazione ora, finché ti costa solo un pomeriggio. Le aziende che gestiranno con calma la prossima di queste chiamate sono quelle che hanno provato lo spegnimento prima che un fornitore lo imponesse.
Da leggere ora: 430.000 firewall come linea di rifornimento ransomware | CitrixBleed torna, sfruttato in meno di un giorno



