黑客正积极利用Gladinet文件共享软件的零日漏洞发起在野攻击

阅读量6212

发布时间 : 2025-10-14 15:31:08

x
译文声明

本文是翻译文章,文章原作者 Bill Toulas,文章来源:bleepingcomputer

原文地址:https://www.bleepingcomputer.com/news/security/hackers-exploiting-zero-day-in-gladinet-file-sharing-software/

译文仅供参考,具体内容表达以及含义原文为准。

威胁行为者正在利用Gladinet CentreStack和Triofox产品中的零日漏洞(CVE-2025-11371),该漏洞允许本地攻击者无需认证即可访问系统文件

目前已有至少三家公司成为攻击目标。尽管补丁尚未发布,但客户可采取缓解措施。

CentreStack和Triofox是Gladinet的文件共享与远程访问业务解决方案,允许企业将自有存储用作云存储。据供应商称,CentreStack“被来自49个国家的数千家企业使用”。

零日漏洞CVE-2025-11371是一个本地文件包含(LFI)缺陷,影响这两款产品的默认安装和配置所有版本(包括最新版本16.7.10368.56560)均受影响

托管网络安全平台Huntress的研究人员于9月27日检测到该安全问题,当时一名威胁行为者成功利用它获取了机器密钥并远程执行代码。

深入分析显示,该漏洞是一个LFI,被用于读取Web.config 文件并提取机器密钥。这使得攻击者能够利用一个旧的反序列化漏洞(CVE-2025-30406),通过ViewState实现远程代码执行(RCE)。

CentreStack和Triofox中的CVE-2025-30406反序列化漏洞曾在3月被野外利用,其根源是硬编码的机器密钥。知晓该密钥的攻击者可在受影响系统上执行RCE。

Huntress表示:“后续分析发现,攻击者利用未认证的本地文件包含漏洞(CVE-2025-11371)从应用Web.config 文件中获取机器密钥,再通过上述ViewState反序列化漏洞实现远程代码执行。”

Huntress已联系Gladinet通报发现。供应商确认已知晓该漏洞,并表示正在通知客户采用临时解决方法,直至补丁发布。

研究人员向受影响客户分享了缓解措施,并发布以下建议以防御CVE-2025-11371:

  1. 在“C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config ”路径下,禁用UploadDownloadProxy组件Web.config 文件中的temp handler
  2. 找到并删除定义temp handler的行——该行指向t.dn

此行启用了攻击者通过本地文件包含利用的易受攻击功能,因此删除它可防止CVE-2025-11371被利用。

研究人员警告,这些缓解措施“会影响平台的部分功能”,但能确保漏洞无法被利用。

本文翻译自bleepingcomputer 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66