威胁行为者正在利用Gladinet CentreStack和Triofox产品中的零日漏洞(CVE-2025-11371),该漏洞允许本地攻击者无需认证即可访问系统文件。
目前已有至少三家公司成为攻击目标。尽管补丁尚未发布,但客户可采取缓解措施。
CentreStack和Triofox是Gladinet的文件共享与远程访问业务解决方案,允许企业将自有存储用作云存储。据供应商称,CentreStack“被来自49个国家的数千家企业使用”。
零日漏洞CVE-2025-11371是一个本地文件包含(LFI)缺陷,影响这两款产品的默认安装和配置,所有版本(包括最新版本16.7.10368.56560)均受影响。
托管网络安全平台Huntress的研究人员于9月27日检测到该安全问题,当时一名威胁行为者成功利用它获取了机器密钥并远程执行代码。
深入分析显示,该漏洞是一个LFI,被用于读取Web.config 文件并提取机器密钥。这使得攻击者能够利用一个旧的反序列化漏洞(CVE-2025-30406),通过ViewState实现远程代码执行(RCE)。
CentreStack和Triofox中的CVE-2025-30406反序列化漏洞曾在3月被野外利用,其根源是硬编码的机器密钥。知晓该密钥的攻击者可在受影响系统上执行RCE。
Huntress表示:“后续分析发现,攻击者利用未认证的本地文件包含漏洞(CVE-2025-11371)从应用Web.config 文件中获取机器密钥,再通过上述ViewState反序列化漏洞实现远程代码执行。”
Huntress已联系Gladinet通报发现。供应商确认已知晓该漏洞,并表示正在通知客户采用临时解决方法,直至补丁发布。
研究人员向受影响客户分享了缓解措施,并发布以下建议以防御CVE-2025-11371:
- 在“C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config ”路径下,禁用UploadDownloadProxy组件Web.config 文件中的temp handler。
- 找到并删除定义temp handler的行——该行指向
t.dn
。
此行启用了攻击者通过本地文件包含利用的易受攻击功能,因此删除它可防止CVE-2025-11371被利用。
研究人员警告,这些缓解措施“会影响平台的部分功能”,但能确保漏洞无法被利用。
发表评论
您还未登录,请先登录。
登录