HackerNews 编译,转载请注明出处:
黑客正利用 Gladinet 公司旗下 CentreStack 与 Triofox 产品中的零日漏洞(漏洞编号 CVE-2025-11371)发起攻击。该漏洞可使本地攻击者在无需身份验证的情况下,访问系统文件。
目前已有至少三家企业成为攻击目标。尽管官方补丁尚未发布,但用户可通过临时缓解措施降低风险。
CentreStack 与 Triofox 是 Gladinet 推出的企业级文件共享与远程访问解决方案,支持企业将自有存储资源用作 “私有云”。据厂商介绍,CentreStack “已被来自 49 个国家的数千家企业采用”。
此次发现的零日漏洞 CVE-2025-11371 属于 “本地文件包含漏洞”(Local File Inclusion,LFI),影响 CentreStack 与 Triofox 的默认安装配置,且所有版本(包括最新版本 16.7.10368.56560)均存在该漏洞。
托管式网络安全平台 Huntress 的研究人员于 9 月 27 日发现了这一安全问题 —— 当时有黑客成功利用该漏洞获取了目标设备的 “机器密钥”(machine key),并实现了远程代码执行。
进一步分析显示,黑客通过该 LFI 漏洞读取了系统中的 Web.config 配置文件,并从中提取出机器密钥。随后,黑客利用另一处老旧的 “反序列化漏洞”(漏洞编号 CVE-2025-30406),通过 ViewState(ASP.NET框架中的状态管理机制)实现了 “远程代码执行”(Remote Code Execution,RCE)—— 即远程操控目标设备。
值得注意的是,CentreStack 与 Triofox 中的 CVE-2025-30406 反序列化漏洞早在今年 3 月就已被黑客在实际攻击中利用。该漏洞的根源是软件中存在 “硬编码机器密钥”(即密钥被固定写入代码,无法修改),黑客一旦获取该密钥,即可在受影响系统上执行远程代码。
Huntress 在报告中表示:“经后续分析发现,黑客利用了这一无需身份验证的本地文件包含漏洞(CVE-2025-11371),从应用程序的 Web.config 文件中获取机器密钥,再通过上述 ViewState 反序列化漏洞实现远程代码执行。”
Huntress 已就该漏洞联系 Gladinet 公司。厂商确认已知晓此漏洞,并表示正在通知用户采取临时规避措施,直至正式补丁发布。
研究人员已向受攻击的企业客户提供了缓解方案,并公开了以下针对 CVE-2025-11371 的防护建议:
- 找到路径为 “C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config” 的配置文件,禁用其中 “UploadDownloadProxy 组件” 的 “temp handler”(临时处理器)功能;在该 Web.config 文件中定位并删除定义 “temp handler” 的代码行 —— 该行代码指向 “t.dn”。
上述代码行是触发漏洞的关键:黑客正是通过该功能利用本地文件包含漏洞发起攻击,因此删除该行代码可有效阻止 CVE-2025-11371 漏洞被利用。
研究人员同时提醒,这些缓解措施 “可能会对平台的部分功能产生影响”,但能确保漏洞不会被黑客利用。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
