O que a Progress pediu aos clientes

A instrução da Progress Software foi direta: desligar a máquina. Em 10 de julho de 2026, com uma cobertura mais ampla no dia seguinte, os administradores com ShareFile e Storage Zone Controllers locais foram instruídos a desligar fisicamente esses controladores perante uma ameaça que o fornecedor classificou de credível.

Não há correção a aplicar, nem CVE com nome a seguir, nem detalhe público sobre a própria ameaça. A Progress também deixou claro que bloquear o acesso na camada da nuvem não chega. A exposição é o próprio controlador, o equipamento que está dentro da rede do próprio cliente, e a única orientação em cima da mesa é deixar de o executar.

Uma vulnerabilidade da Progress de gravidade 9,8, CVE-2026-2699, circula por aí, mas a Progress não a associou oficialmente a este aviso. Para um responsável, a posição prática é simples e incómoda: um fornecedor de confiança diz-lhe que o estado mais seguro do seu produto é desligado.

Porque 'desligar' vence 'esperar por uma correção'

Puxar a ficha é o passo honesto quando não há nada para corrigir. Um encerramento remove a superfície de ataque de imediato, enquanto esperar convida exatamente o cenário que o setor já viveu com o MOVEit, o anterior produto de transferência de ficheiros da Progress cuja crise de 2023 desencadeou uma das maiores vagas de violações na Europa.

Esse precedente é a razão pela qual este aviso pesa para além de uma única linha de produto. A mesma categoria de software de transferência de ficheiros de confiança, colocada na costura por onde documentos sensíveis circulam entre parceiros, produziu agora duas emergências declaradas pelo fornecedor, do mesmo fornecedor. Quando a solução não está disponível, a única alavanca que um responsável controla é a disponibilidade, e desligar o serviço é a única ação que nenhum atacante consegue ultrapassar em velocidade.

O exercício de risco de terceiros que deve a si próprio

A lição aqui não é este único produto. É que os seus fornecedores de transferência gerida de ficheiros e de partilha de ficheiros são um risco de terceiros concentrado, e que uma instrução súbita para desligar um sistema em produção é um exercício que já deveria conseguir executar ao abrigo da NIS2 e da DORA.

Ambos os regimes tratam um evento assim, despoletado por um fornecedor, como um incidente de terceiros sujeito a notificação, e o prazo pode começar antes de qualquer comprometimento ser confirmado. Isso significa que as perguntas que hoje vale a pena responder não são só sobre o ShareFile: que fornecedores lhe poderiam enviar amanhã a mesma mensagem, quem tem a autoridade para desligar um sistema dentro de uma hora, e com que rapidez conseguiria submeter a notificação que a lei espera.

Faça o exercício agora, enquanto só lhe custa uma tarde. As empresas que gerirão com calma a próxima destas chamadas são as que ensaiaram o encerramento antes de um fornecedor o impor.