CISA dodaje luki w Gladinet CentreStack/Triofox i Control Web Panel do katalogu KEV. Patchuj do 25 listopada 2025

Wprowadzenie do problemu / definicja luki

Amerykańska CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) dwie aktywnie wykorzystywane luki: CVE-2025-11371 w Gladinet CentreStack/Triofox oraz CVE-2025-48703 w Control Web Panel (CWP, dawniej CentOS Web Panel). Agencje FCEB mają czas na wdrożenie poprawek lub środki zaradcze do 25 listopada 2025 r.. Informację nagłośnił m.in. The Hacker News.

W skrócie

• Gladinet CentreStack/Triofox – CVE-2025-11371 (LFI): nieauthoryzowany Local File Inclusion umożliwia odczyt plików systemowych w domyślnej instalacji; obserwowane wykorzystanie w atakach. W praktyce może prowadzić do eskalacji do RCE, np. przez wyciek kluczy i łańcuchowanie z innymi słabościami.
• Control Web Panel – CVE-2025-48703 (RCE): OS Command Injection w parametrze t_total żądania filemanager changePerm daje nieautoryzowane RCE (wystarczy znać dowolną nie-root nazwę użytkownika). Zalecana wersja: ≥ 0.9.8.1205. Aktywnie wykorzystywana.
• Termin CISA (FCEB): 25.11.2025 jako deadline na działania naprawcze.

Kontekst / historia / powiązania

Luka CVE-2025-11371 była opisana przez zespoły monitorujące incydenty (Huntress) jako 0-day wykorzystywany „na wolności” przeciw instancjom CentreStack/Triofox, z naciskiem na to, iż dotyczy domyślnej konfiguracji i najnowszych wówczas wydań. CISA włączyła podatność do KEV po potwierdzeniu aktywnej eksploatacji.
W przypadku CWP podatność CVE-2025-48703 została szeroko udokumentowana (NVD, społeczność), z publicznymi PoC-ami i dyskusją o łańcuchu ataku wymagającym znajomości nazwy użytkownika. CISA ostrzega, iż wektory tego typu są częstym celem atakujących.

Analiza techniczna / szczegóły luki

Gladinet CentreStack/Triofox — CVE-2025-11371 (LFI)

• Wpływ: nieautoryzowany LFI → odczyt plików (np. web.config, klucze, sekrety). Dotyczy domyślnej instalacji/konfiguracji wersji do i włącznie z 16.7.10368.56560.
• Eksploatacja: napastnik żąda ścieżek systemowych, uzyskuje konfiguracje/sekrety → możliwe RCE pośrednie (np. przejęcie kluczy, łańcuchowanie z deserializacją). Huntress potwierdza ataki „in the wild”.

Control Web Panel — CVE-2025-48703 (OS Command Injection / RCE)

• Wpływ: pre-auth RCE (wymagana znajomość dowolnej poprawnej nazwy użytkownika); wektor to wstrzyknięcie metaznaków powłoki w parametrze t_total podczas filemanager&acc=changePerm.
• Zasięg: wersje < 0.9.8.1205. Napastnik może wykonać dowolne polecenia systemowe w kontekście aplikacji/panelu.

Praktyczne konsekwencje / ryzyko

• Gladinet: wyciek kluczy/sekretów → pełne przejęcie aplikacji lub serwera przez łańcuchowanie (np. podpisywanie payloadów, manipulacja sesjami). Wysokie ryzyko dla MSP i środowisk z publikacją portali do Internetu.
• CWP: zdalne wykonanie kodu na hostach panelu → pivot na serwery klientów (Apache/Nginx/MySQL), kradzież danych, implanty, ransomware. Publiczne PoC-e zwiększają tempo skanowania i masowej eksploatacji.

Rekomendacje operacyjne / co zrobić teraz

Wspólne:

1. Ogranicz ekspozycję do paneli/portali (ACL, VPN, IP allowlist, geofencing).
2. WAF/IPS: reguły blokujące LFI i metaznaki powłoki (;, `, |, &&) w ścieżkach/parametrach.
3. Telemetria: monitoruj nietypowe żądania do endpointów portalu (Gladinet) i modułu filemanager (CWP); alertuj na odczyty plików konfiguracyjnych i żądania z t_total.
4. IR: przeszukaj logi pod kątem prób LFI i poleceń; rotuj klucze/sekrety, tokeny i hasła jeżeli portal/panel był wystawiony.

Gladinet CentreStack/Triofox (CVE-2025-11371):

• Zaktualizuj do najnowszej dostępnej wersji i zastosuj mitigacje dostawcy; jeżeli aktualizacja jest niemożliwa, tymczasowo wyłącz publiczny dostęp portalu. Monitoruj pod kątem odczytu web.config i podobnych wrażliwych plików.

Control Web Panel (CVE-2025-48703):

• Aktualizuj do ≥ 0.9.8.1205 niezwłocznie; jeżeli aktualizacja nie jest możliwa — odetnij porty CWP od Internetu, włącz 2FA na panelach, wymuś zmianę wszystkich haseł.

Terminy dla FCEB: wdrożenie poprawek/mitigacji do 25 listopada 2025 r. (KEV due date).

Różnice / porównania z innymi przypadkami

• LFI (Gladinet) to głównie wyciek informacji z potencjałem na RCE przez łańcuchowanie;
• Command Injection (CWP) to bezpośrednie RCE po spełnieniu lekkiego warunku (znajomość nazwy użytkownika).
  Obie luki są w KEV z uwagi na realne, potwierdzone ataki.

Podsumowanie / najważniejsze wnioski

• Dwie różne klasy błędów (LFI vs. OS Command Injection), wspólny mianownik: aktywna eksploatacja i publiczne techniki ataku.
• Priorytet: aktualizacje (Gladinet do najnowszych wydań; CWP do ≥ 0.9.8.1205), redukcja ekspozycji, monitoring i rotacja sekretów.
• Deadline CISA (FCEB): 25.11.2025 — dobry punkt odniesienia dla wszystkich organizacji.

Źródła / bibliografia

• CISA KEV — wpisy i termin działań (dodane 4 listopada 2025): due date 25.11.2025. (CISA)
• The Hacker News: „CISA Adds Gladinet and CWP Flaws to KEV Catalog…” (05.11.2025). (The Hacker News)
• NVD: CVE-2025-11371 — Gladinet CentreStack/Triofox LFI (opis, zakres). (NVD)
• NVD: CVE-2025-48703 — CWP OS Command Injection (RCE). (NVD)
• Huntress: „Active Exploitation of Gladinet CentreStack and Triofox LFI” — potwierdzenie ataków, techniczne tło. (Huntress)