Zero-day, отсутствие патча и три взломанных компании. Как новая уязвимость превратилась в кошмар для бизнеса
NewsMakerПроизводитель молчит уже две недели, а киберпреступники совершенствуют свои методы атак.
Аналитики Huntress зафиксировали активные попытки эксплуатации новой уязвимости в продуктах CentreStack и TrioFox от компании Gladinet. Проблема отслеживается под идентификатором CVE-2025-11371 и представляет собой ошибку типа LFI (Local File Inclusion), которая может привести к несанкционированному доступу к системным файлам. Проблема затрагивает все версии до и включая 16.7.10368.56560, при этом исправление пока не выпущено.
Впервые вредоносная активность была замечена 27 сентября, когда специалисты обнаружили следы атак у трёх клиентов. В рамках одного из расследованных случаев атакующие использовали уязвимость даже в более новой версии, не подверженной другой критической проблеме — CVE-2025-30406 . Это может свидетельствовать о том, что злоумышленники задействуют новую брешь для извлечения жёстко заданного ключа из конфигурационного файла и запуска удалённого кода через уязвимость сериализации ViewState, которая ранее уже использовалась при атаках.
CVE-2025-11371 позволяет получить доступ к файлу Web.config и извлечь из него machine key, что в связке с предыдущей уязвимостью может привести к полному захвату управления над системой. Несмотря на то, что обе дыры различны по механизму своего действия, они потенциально взаимосвязаны, а их последовательное использование делает возможным выполнение произвольного кода на сервере без аутентификации.
Исходя из текущих наблюдений, точная принадлежность атакующих остаётся неизвестной. Однако в Huntress не исключают, что атаки могут исходить от той же группы, что ранее уже эксплуатировала CVE-2025-30406, учитывая схожесть подходов и необходимость минимальных усилий для нахождения новой уязвимости в знакомом ПО.
До выхода официального исправления пользователям предлагается временное решение: отключить обработчик «temp» в файле Web.config, расположенном по адресу «C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config». Это частично ограничит функциональность системы, но устранит возможность эксплуатации уязвимости через данный канал.
Пока подтверждено лишь несколько случаев взлома, однако наличие уязвимости без актуального исправления, а также уже замеченная активность атакующих, указывает на необходимость срочных мер по защите инфраструктуры. Учитывая прошлые инциденты с CentreStack и TrioFox, текущая проблема лишь подчёркивает необходимость оперативной реакции и внутреннего аудита конфигураций.
Аналитики Huntress зафиксировали активные попытки эксплуатации новой уязвимости в продуктах CentreStack и TrioFox от компании Gladinet. Проблема отслеживается под идентификатором CVE-2025-11371 и представляет собой ошибку типа LFI (Local File Inclusion), которая может привести к несанкционированному доступу к системным файлам. Проблема затрагивает все версии до и включая 16.7.10368.56560, при этом исправление пока не выпущено.
Впервые вредоносная активность была замечена 27 сентября, когда специалисты обнаружили следы атак у трёх клиентов. В рамках одного из расследованных случаев атакующие использовали уязвимость даже в более новой версии, не подверженной другой критической проблеме — CVE-2025-30406 . Это может свидетельствовать о том, что злоумышленники задействуют новую брешь для извлечения жёстко заданного ключа из конфигурационного файла и запуска удалённого кода через уязвимость сериализации ViewState, которая ранее уже использовалась при атаках.
CVE-2025-11371 позволяет получить доступ к файлу Web.config и извлечь из него machine key, что в связке с предыдущей уязвимостью может привести к полному захвату управления над системой. Несмотря на то, что обе дыры различны по механизму своего действия, они потенциально взаимосвязаны, а их последовательное использование делает возможным выполнение произвольного кода на сервере без аутентификации.
Исходя из текущих наблюдений, точная принадлежность атакующих остаётся неизвестной. Однако в Huntress не исключают, что атаки могут исходить от той же группы, что ранее уже эксплуатировала CVE-2025-30406, учитывая схожесть подходов и необходимость минимальных усилий для нахождения новой уязвимости в знакомом ПО.
До выхода официального исправления пользователям предлагается временное решение: отключить обработчик «temp» в файле Web.config, расположенном по адресу «C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config». Это частично ограничит функциональность системы, но устранит возможность эксплуатации уязвимости через данный канал.
Пока подтверждено лишь несколько случаев взлома, однако наличие уязвимости без актуального исправления, а также уже замеченная активность атакующих, указывает на необходимость срочных мер по защите инфраструктуры. Учитывая прошлые инциденты с CentreStack и TrioFox, текущая проблема лишь подчёркивает необходимость оперативной реакции и внутреннего аудита конфигураций.