Wat Progress klanten opdroeg te doen
De instructie van Progress Software was botweg: zet de machine uit. Op 10 juli 2026, met bredere berichtgeving een dag later, werd beheerders met ShareFile en on-premise Storage Zone Controllers gevraagd die controllers fysiek uit te schakelen wegens een dreiging die de leverancier geloofwaardig noemde.
Er is geen patch om toe te passen, geen benoemde CVE om te volgen, en geen openbaar detail over de dreiging zelf. Progress maakte ook duidelijk dat toegang blokkeren op de cloudlaag niet genoeg is. De blootstelling is de controller zelf, het apparaat binnen het eigen netwerk van de klant, en het enige advies op tafel is om het draaien te stoppen.
Een Progress-kwetsbaarheid met ernst 9,8, CVE-2026-2699, circuleert in het wild, maar Progress heeft die niet officieel aan deze waarschuwing gekoppeld. Voor een eigenaar is de praktische positie simpel en ongemakkelijk: een vertrouwde leverancier zegt dat de veiligste toestand van zijn product uitgeschakeld is.
Waarom 'uitzetten' beter is dan 'wachten op een patch'
De stekker eruit trekken is de eerlijke zet als er niets te patchen valt. Een uitschakeling verwijdert het aanvalsoppervlak meteen, terwijl wachten precies het scenario uitnodigt dat de sector al meemaakte met MOVEit, het eerdere Progress-product voor bestandsoverdracht waarvan de crisis van 2023 een van de grootste inbreukgolven in Europa veroorzaakte.
Dat precedent is de reden dat deze waarschuwing zwaarder weegt dan een enkele productlijn. Dezelfde categorie vertrouwde software voor bestandsoverdracht, op de naad waar gevoelige documenten tussen partners bewegen, heeft nu twee door de leverancier uitgeroepen noodgevallen opgeleverd, van dezelfde leverancier. Wanneer de oplossing er niet is, is de enige hefboom die een eigenaar beheert de beschikbaarheid, en de dienst uitschakelen is de enige actie die geen aanvaller kan inhalen.
De derdepartijrisico-oefening die je jezelf verschuldigd bent
De les hier is niet dit ene product. Het is dat je leveranciers voor beheerde bestandsoverdracht en bestandsdeling geconcentreerd derdepartijrisico zijn, en dat een plotse opdracht om een productiesysteem uit te zetten een oefening is die je onder NIS2 en DORA al zou moeten kunnen uitvoeren.
Beide regimes behandelen zo'n door een leverancier veroorzaakte gebeurtenis als een meldplichtig incident met derden, en de termijn kan starten voordat enige inbreuk is bevestigd. Dat betekent dat de vragen die vandaag de moeite waard zijn niet alleen over ShareFile gaan: welke leveranciers je morgen hetzelfde bericht kunnen sturen, wie de bevoegdheid heeft om een systeem binnen het uur uit te zetten, en hoe snel je de melding kunt indienen die de wet verwacht.
Doe de oefening nu, zolang die je enkel een middag kost. De bedrijven die het volgende van deze telefoontjes kalm afhandelen zijn die welke de uitschakeling repeteerden voordat een leverancier hen dwong.
Lees hierna: 430.000 firewalls werden een toevoerlijn voor ransomware | CitrixBleed is terug, binnen een dag misbruikt



