Co znajdziesz w tym artykule?
- 1 Wprowadzenie do problemu / definicja luki
- 2 W skrócie
- 3 Kontekst / historia / powiązania
- 4 Analiza techniczna / szczegóły luki
- 5 Praktyczne konsekwencje / ryzyko
- 6 Rekomendacje operacyjne / co zrobić teraz
- 7 Różnice / porównania z innymi przypadkami
- 8 Podsumowanie / kluczowe wnioski
- 9 Źródła / bibliografia
Wprowadzenie do problemu / definicja luki
Gladinet wydał poprawkę dla biznesowego rozwiązania do udostępniania plików CentreStack, usuwając podatność CVE-2025-11371. To nieautoryzowana LFI (Local File Inclusion), która była aktywnie wykorzystywana od końca września. Patch jest dostępny w wersji 16.10.10408.56683 CentreStack. Triofox pozostaje powiązany funkcjonalnie, ale komunikaty o wydaniu łaty dotyczą wprost CentreStack.
W skrócie
- Id: CVE-2025-11371 (LFI, ujawnienie plików systemowych bez uwierzytelnienia).
- Status: ataki „in the wild” potwierdzone (co najmniej trzy ofiary); patch już dostępny (16.10.10408.56683).
- Wektor nadużycia: odczyt
Web.config→ przejęciemachineKey→ podpisanie danych i RCE przez deserializację ViewState. - Wersje podatne (wg NVD): wszystkie do i łącznie z 16.7.10368.56560.
Kontekst / historia / powiązania
W kwietniu 2025 ujawniono krytyczne CVE-2025-30406: twardo zakodowane klucze kryptograficzne (machineKey) umożliwiały RCE przez deserializację ViewState. Błąd załatano (min. CentreStack 16.4.10315.56368), ale nowy zero-day CVE-2025-11371 pozwalał napastnikom odzyskać klucz z dysku i ponownie osiągnąć RCE mimo kwietniowej łaty. Stąd fala ataków we wrześniu/październiku.
Analiza techniczna / szczegóły luki
Huntress opisał ścieżkę nadużycia: publiczny endpoint obsługiwany przez klasę GladinetStorage.TempDownload w komponencie GSUploadDownloadProxy akceptował ciągi z sekwencjami przejścia katalogu. To pozwalało na odczyt dowolnych plików względem katalogu tymczasowego – w praktyce również .../root/Web.config. Po pobraniu Web.config atakujący wyciągał machineKey i przechodził do RCE poprzez przygotowanie złośliwego ViewState (deserializacja po stronie serwera). Huntress udostępnił minimalistyczny 1-liner PowerShell do pobrania Web.config jako PoC po tym, jak Gladinet wypuścił patch.
NVD potwierdza klasyfikację błędu jako LFI umożliwiającą niezamierzone ujawnienie plików oraz wskazuje zakres wersji podatnych (≤16.7.10368.56560). Horizon3.ai dodatkowo podkreśla, że LFI → machineKey → RCE to łańcuch ataku możliwy w domyślnych instalacjach CentreStack/Triofox.
Praktyczne konsekwencje / ryzyko
- Przełamanie uwierzytelniania logicznego: dowolny, nieautoryzowany klient może czytać pliki aplikacyjne/OS (LFI).
- Eskalacja do pełnego kompromisu hosta Windows: po uzyskaniu
machineKeymożliwe jest zdalne wykonanie kodu z uprawnieniami procesu serwera WWW (w praktyce często SYSTEM). - Ryzyko wtórne: kradzież danych klientów, pivot do sieci wewnętrznej, wstrzyknięcie web-shella, trwałość poprzez zadania harmonogramu/usługi.
Rekomendacje operacyjne / co zrobić teraz
- Natychmiast zaktualizuj CentreStack do 16.10.10408.56683 (panel aktualizacji/instalator). Zweryfikuj wersję po aktualizacji.
- Jeśli patch chwilowo niemożliwy – zastosuj mitigacje Huntress:
- Wyłącz handler
t.dnwUploadDownloadProxy\Web.config(usunięcie wpisu mapującego). - Ogranicz ekspozycję portali (geofencing/VPN/WAF), jeśli to możliwe.
- Wyłącz handler
- Natychmiastowa detekcja/IR:
- Przejrzyj logi pod kątem żądań typu
GET /storage/t.dn?s=..\..\..\Program+Files+(x86)\Gladinet+Cloud+Enterprise\root\Web.config&sid=1. - Szukaj nietypowych
POSTz zakodowanymi base64 payloadami oraz plików tymczasowych zawierających wyniki poleceń (np.CentreStac_log.txt). - Zresetuj/obróć wartości
machineKeyi inne sekrety, jeśli istnieje podejrzenie odczytuWeb.config.
- Przejrzyj logi pod kątem żądań typu
- Twarde utwardzenie konfiguracji ASP.NET:
- Wymuś custom
machineKeygenerowany per-instancję (nie domyślne). - Włącz ViewState MAC i rozważ ViewStateUserKey (zgodnie z best practices). (Wniosek wynikający z analizy mechanizmu ataku.)
- Wymuś custom
- Atak łańcuchowy a stare CVE: upewnij się, że CVE-2025-30406 było wcześniej załatane (min. 16.4.10315.56368). Ten błąd historycznie umożliwiał RCE i pozostaje częścią łańcucha, jeśli
machineKeyjest znany.
Różnice / porównania z innymi przypadkami
- CVE-2025-30406 (kwiecień 2025): problem z twardo zakodowanymi kluczami w
Web.config→ natychmiastowe RCE; naprawiony w 16.4.x. - CVE-2025-11371 (październik 2025): LFI pozwala wydobyć
machineKeyzWeb.config, co odtwarza warunki do RCE znane z wcześniejszej luki. Ta podatność została teraz załatana w 16.10.x.
Podsumowanie / kluczowe wnioski
- Patch jest już dostępny – zaktualizuj do 16.10.10408.56683 bez zwłoki.
- LFI w CentreStack nie wymaga uwierzytelnienia i prowadzi do RCE przez kradzież
machineKey. - Nawet organizacje załatane na kwietniowe CVE-2025-30406 były podatne, dopóki CVE-2025-11371 pozostawało niezałatane.
- W logach szukaj śladów odczytu
Web.configi nietypowych base64 payloadów. W razie podejrzeń rotuj klucze/sekrety i przeprowadź IR.
Źródła / bibliografia
- BleepingComputer: „Gladinet fixes actively exploited zero-day in file-sharing software” (16 października 2025) – informacja o wydaniu łat 16.10.10408.56683. (BleepingComputer)
- Huntress: „Active Exploitation of Gladinet CentreStack and Triofox Local File Inclusion Flaw (CVE-2025-11371)” – techniczne szczegóły LFI, ścieżka eksploatacji, IoC i mitigacje. Aktualizacja z 15 października. (Huntress)
- NVD: CVE-2025-11371 – opis podatności i zakres wersji podatnych (≤16.7.10368.56560). (NVD)
- NVD: CVE-2025-30406 – wcześniejsza luka RCE (hardcoded
machineKey) oraz wersja naprawcza 16.4.10315.56368. (NVD) - Horizon3.ai: Analiza CVE-2025-11371 (LFI → RCE) – omówienie łańcucha ataku. (Horizon3.ai)