Vad Progress bad kunderna att göra
Instruktionen från Progress Software var rakt på sak: stäng av maskinen. Den 10 juli 2026, med bredare bevakning dagen efter, ombads administratörer som kör ShareFile med lokala Storage Zone Controllers att fysiskt stänga av dessa controllers som svar på ett hot som leverantören kallade trovärdigt.
Det finns ingen patch att tillämpa, ingen namngiven CVE att följa och inga offentliga detaljer om själva hotet. Progress gjorde också klart att det inte räcker att spärra åtkomsten på molnlagret. Exponeringen är själva controllern, enheten som sitter inne i kundens eget nätverk, och den enda vägledningen som finns är att sluta köra den.
En Progress-sårbarhet med allvarlighetsgrad 9,8, CVE-2026-2699, cirkulerar i det vilda, men Progress har inte officiellt knutit den till denna varning. För en ägare är den praktiska situationen enkel och obekväm: en betrodd leverantör säger att det säkraste tillståndet för produkten är avstängd.
Varför 'stäng av den' slår 'vänta på en patch'
Att dra ur sladden är det ärliga draget när det inte finns något att patcha. En avstängning tar bort attackytan omedelbart, medan väntan bjuder in exakt det scenario som branschen redan genomlevde med MOVEit, den tidigare Progress-produkten för filöverföring vars kris 2023 drev fram en av de största vågorna av dataintrång i Europa.
Det prejudikatet är skälet till att denna varning väger tyngre än en enda produktlinje. Samma kategori av betrodd programvara för filöverföring, placerad i skarven där känsliga dokument rör sig mellan partner, har nu gett upphov till två leverantörsutfärdade nödlägen från samma leverantör. När rättningen inte finns är den enda spak en ägare styr tillgängligheten, och att stänga av tjänsten är den enda åtgärd som en angripare inte kan hinna före.
Tredjepartsrisk-övningen du är skyldig dig själv
Lärdomen här är inte denna enda produkt. Det är att dina leverantörer av hanterad filöverföring och fildelning utgör en koncentrerad tredjepartsrisk, och att en plötslig instruktion att stänga av ett produktionssystem är en övning du redan borde kunna genomföra under NIS2 och DORA.
Båda regelverken behandlar en sådan leverantörsutlöst händelse som en anmälningspliktig tredjepartsincident, och fristen kan börja löpa innan någon kompromettering är bekräftad. Det betyder att frågorna som är värda att besvara i dag inte bara handlar om ShareFile: vilka leverantörer som kan skicka dig samma meddelande i morgon, vem som har befogenhet att stänga av ett system inom en timme, och hur snabbt du kan lämna in den anmälan som lagen förväntar sig.
Kör övningen nu, medan den bara kostar dig en eftermiddag. De företag som hanterar nästa sådant fall lugnt är de som repeterade avstängningen innan en leverantör tvingade fram den.
Läs vidare: 430.000 brandväggar blev en ransomware-tillförsel | CitrixBleed är tillbaka, utnyttjad inom en dag



