威脅行為者正在利用 Gladinet CentreStack 和 Triofox 產品中的零日漏洞 (CVE-2025-11371),該漏洞允許本地攻擊者無需身份驗證即可存取系統檔案。CentreStack 和 Triofox 是 Gladinet 的文件共享和遠端存取業務解決方案,允許將公司自己的儲存用作雲端。據該供應商稱,CentreStack「已被來自49多個國家的數千家企業使用」。
零時差漏洞 CVE-2025-11371 是一個本機檔案包含 (LFI) 漏洞,影響兩種產品的預設安裝和配置,影響包括最新版本 16.7.10368.56560 在內的所有版本。儘管目前尚未發布補丁,此行啟用了攻擊者透過本機檔案包含利用的易受攻擊的功能,因此刪除它可以防止利用 CVE-2025-11371。
資安研究人員在管理式網路安全平台 Huntress 上偵測到此安全問題,當時一名威脅行為者已成功利用該漏洞來獲取機器金鑰(machine key)並遠端執行代碼(RCE)。深入分析顯示,問題核心是 LFI 漏洞被用來讀取 Web.config 檔案,從中提取出關鍵的機器金鑰。
這個機密金鑰的洩露,使攻擊者能夠利用另一個較舊的反序列化漏洞(CVE-2025-30406),透過 ViewState 參數實現遠端代碼執行(RCE)。值得注意的是,CVE-2025-30406 這個反序列化錯誤在 CentreStack 和 Triofox 產品中曾於三月份被發現並遭野外利用,其問題在於使用了硬編碼的機器金鑰。當時,任何知道該金鑰的攻擊者都可以在受影響的系統上執行 RCE。
Huntress 與 Gladinet 聯繫後,供應商證實他們已意識到此漏洞的存在,並承諾在官方補丁發布前,向客戶提供緩解措施。由於此漏洞的危害性極高,目前至少有三家公司已成為攻擊目標,顯示駭客正在積極利用此漏洞進行入侵。
為保護系統免受 CVE-2025-11371 的利用,研究人員已分享了具體的緩解建議:
停用 Web.config 中的臨時處理程序(temp handler): 這是防止攻擊者利用 LFI 漏洞的關鍵步驟。
定位並移除定義臨時處理程序的一行: 該行程式碼指向 t.dn,位於「C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config」路徑下的 UploadDownloadProxy 組件配置中。
移除這行程式碼雖然會對平臺的某些功能造成影響,但能有效地阻止 CVE-2025-11371 漏洞被利用。企業用戶應在官方補丁發布前,立即採取這些緊急措施,以防範未經授權的系統檔案存取及可能導致的遠端代碼執行攻擊。
資料來源:https://www.bleepingcomputer.com/news/security/hackers-exploiting-zero-day-in-gladinet-file-sharing-software/