Când securitatea unei aplicații enterprise este testată, povestea trebuie relatată clar: Gladinet a publicat un update pentru CentreStack după ce cercetătorii Huntress au raportat exploatarea unei vulnerabilități LFI (CVE-2025-11371) folosită ca zero-day încă din septembrie. Problemele afectează serverele CentreStack, iar schema tehnică arată cum niște setări și permisiuni pot transforma un incident local într-un acces pentru execuție de cod la distanță.
Contextul e simplu și, din păcate, frecvent întâlnit: o problemă de deserializare identificată anterior (CVE-2025-30406) primise deja anumite mitigări, însă atacatorii au descoperit o ocolire, o includere locală de fișier care permitea citirea fișierului Web.config chiar și pe instalările patch-uite. Web.config conține machine key folosită de ASP.NET, iar cu acea cheie se poate construi un ViewState malițios care, din cauza lacunei de deserializare, este apoi deserializat și duce la execuție de cod la distanță. Pe scurt: au furat cheia locuinței pentru a deschide o ușă despre care credeau că e închisă.
Huntress a expus din punct de vedere tehnic modul de atac și a publicat un PoC minimal. Sursa problemei este un handler pentru descărcări temporare, disponibil la /storage/t.dn, care primește parametrul s= și nu face sanitizare adecvată, permițând traversare de directoare. Serviciul rulează sub contul NT AUTHORITYSYSTEM și rezolvă căile relativ la folderul temp, astfel atacatorii pot citi orice fișier accesibil contului SYSTEM, inclusiv Web.config. În practică, Huntress a observat cereri HTTP către /storage/t.dn?s=… care returnau Web.config, urmate de POST-uri cu payload-uri în base64 care executau comenzi pe serverele compromise. Au arătat și un exemplu PowerShell one-line cu Invoke-WebRequest care demonstrează cât de simplu se poate extrage Web.config fără autentificare.
Gladinet a reacționat: pe lângă comunicările inițiale către clienți, a pregătit și publicat un update de securitate. Patch-ul ce remediează CVE-2025-11371 este inclus în CentreStack versiunea 16.10.10408.56683, iar administratorii sunt sfătuiți să îl instaleze cât mai curând. Dacă nu se poate aplica imediat noul pachet, există o măsură temporară: dezactivarea handler-ului temp în Web.config pentru componenta UploadDownloadProxy, prin eliminarea liniei care îl definește.
Huntress nu a oferit însă întregul lanț de exploit care conectează LFI la RCE prin deserializare, ceea ce este normal pentru a preveni replicarea rapidă a atacurilor. Totuși, informațiile publicate sunt suficiente pentru ca administratorii să evalueze riscul și să ia măsuri. Dacă folosești CentreStack, verifică versiunea și aplică update-ul 16.10.10408.56683 sau, temporar, modificarea în Web.config.
CVE-2025-11371 este rezolvată în versiunea CentreStack 16.10.10408.56683, iar pentru cei care nu pot actualiza imediat, dezactivarea handler-ului temp din Web.config pentru UploadDownloadProxy rămâne o opțiune de evitare a exploatării. Ce altă măsură practică ai aplica în infrastructura ta pentru a reduce impactul unor astfel de vulnerabilități?
Fii primul care comentează