Vulnerabilitate zero-day în Gladinet CentreStack și Triofox care permite accesul la fișiere fără autentificare

Aflăm astăzi despre o vulnerabilitate zero-day care afectează produsele Gladinet CentreStack și Triofox, permițând unui atacator local accesul la fișiere de sistem fără autentificare. Vulnerabilitatea, catalogată ca CVE-2025-11371, a fost exploatată în mediul real și a vizat deja cel puțin trei companii; momentan nu există un patch oficial, dar clienții pot aplica măsuri de atenuare.

CentreStack și Triofox sunt soluții enterprise pentru partajare de fișiere și acces la distanță, folosite pentru transformarea stocării interne într-un cloud privat. Gladinet susține că CentreStack este utilizat de mii de organizații din peste 49 de țări, ceea ce face orice problemă de securitate semnificativă pentru numeroase entități. Vulnerabilitatea semnalată este de tip Local File Inclusion (LFI), prezentă în configurația implicită a ambelor produse și, conform analizelor, afectează toate versiunile, inclusiv cea mai recentă raportată, 16.7.10368.56560.

Echipa Huntress, o platformă de securitate gestionată, a detectat exploatarea pe 27 septembrie, când un actor malițios a reușit să obțină cheia de mașină (machine key) și ulterior să execute cod de la distanță. Analiza a relevat că atacatorul a folosit LFI pentru a citi fișierul Web.config și a extrage cheia de mașină. Cu acea cheie, a reutilizat o vulnerabilitate de deserializare anterioară, CVE-2025-30406, pentru a obține execuție de cod la distanță prin ViewState. Acea problemă de deserializare fusese folosită în martie și era asociată cu existența unei chei de mașină hardcodate; cine deține acea cheie poate obține RCE pe sistemele afectate.

Huntress a notificat Gladinet despre descoperire. Furnizorul a confirmat că este la curent cu vulnerabilitatea și oferă clienților o soluție temporară până la apariția unui patch. Cercetătorii au transmis mitigarea direct unui client vizat și au publicat recomandări pentru reducerea riscului legat de CVE-2025-11371. Măsura propusă presupune dezactivarea unui handler temporar din fișierul Web.config al componentei UploadDownloadProxy, situat la C:Program Files (x86)Gladinet Cloud EnterpriseUploadDownloadProxyWeb.config. Practic, trebuie identificată și eliminată linia care definește acel handler temporar, linie care face referire la t.dn și activează funcționalitatea vulnerabilă exploatată prin Local File Inclusion. Eliminarea acelei intrări blochează vectorul de atac aferent CVE-2025-11371.

Cercetătorii avertizează că această mitigare poate afecta anumite funcționalități ale platformei, dar previne exploatarea până la furnizarea unui patch oficial de către Gladinet. Până atunci, organizațiile care utilizează CentreStack sau Triofox ar trebui să evalueze expunerea, să aplice recomandarea tehnică dacă este posibil și să urmărească anunțurile vendorului pentru actualizări.

CVE-2025-11371 este direct legată de CVE-2025-30406 prin faptul că prima facilitează obținerea cheii de mașină, iar a doua permite execuție de cod prin ViewState. Detaliile indică faptul că toate versiunile raportate sunt afectate și că cel puțin trei companii au fost vizate. Huntress a identificat exploatarea pe 27 septembrie, iar versiunea afectată menționată este 16.7.10368.56560. Mitigarea principală constă în modificarea fișierului Web.config pentru componenta UploadDownloadProxy și eliminarea liniei care activează handlerul temporar legat de t.dn.

Acest exemplu ilustrează pericolul combinării unei vulnerabilități de includere locală a fișierelor cu o problemă de deserializare dependentă de o cheie fixă. Când o aplicație păstrează sau folosește chei hardcodate în configurație, riscurile cresc, atacatorul are nevoie doar de o metodă relativ simplă de a citi acel fișier pentru a obține acces extins. În practică, protecția se bazează pe două direcții: eliminarea vectorilor de acces neesențiali (în acest caz, handlerul temporar din Web.config) și reconfigurarea sau rotirea mecanismelor de criptare/semnare pentru a evita chei permanente. Pentru administratorii care rulează CentreStack sau Triofox, pașii imediați sunt clari: verificați versiunea, aplicați mitigarea dacă este fezabil și urmăriți comunicările Gladinet. Ce măsuri vei lua în rețeaua ta pentru a verifica dacă sistemele CentreStack sau Triofox sunt expuse?