CVE-2025-11371: aktywnie wykorzystywana luka (0-day) w Gladinet CentreStack i Triofox — od LFI do RCE

Wprowadzenie do problemu / definicja luki

W produktach Gladinet CentreStack i Triofox wykryto podatność CVE-2025-11371, którą napastnicy aktywnie wykorzystują. Błąd to nieautoryzowany Local File Inclusion (LFI) w domyślnej instalacji i konfiguracji, umożliwiający zdalne odczytywanie plików systemowych bez logowania.

Szczególnie groźne jest pozyskanie klucza machineKey z pliku Web.config, co pozwala na dalszą eskalację do zdalnego wykonania kodu (RCE) poprzez wcześniejszą lukę w ViewState. Łatka nie pozostało dostępna; istnieje natomiast obejście (mitigacja) zalecone do natychmiastowego wdrożenia. Źródło zgłoszenia i obserwacji ataków: Huntress (09 października 2025).

W skrócie

• CVE-2025-11371: LFI w CentreStack/Triofox (wszystkie wersje do i łącznie z 16.7.10368.56560). Brak patcha na 12 października 2025 r.
• Wejście do RCE: odczyt Web.config ⇒ przejęcie machineKey ⇒ ViewState deserialization ⇒ RCE (łańcuch z wcześniejszym CVE-2025-30406).
• Ataki w naturze: co najmniej trzech klientów zostało zaatakowanych (obserwacje z 27 września 2025 r.).
• Mitigacja „od ręki”: wyłączenie handlera temp w UploadDownloadProxy\Web.config (usunięcie linii wskazującej na t.dn). Część funkcji przestanie działać, ale uniemożliwia to exploit.

Kontekst / historia / powiązania

W kwietniu 2025 r. ujawniono CVE-2025-30406 — krytyczną podatność związaną z twardo zakodowanym machineKey w CentreStack/Triofox, która umożliwiała ataki ViewState deserialization i RCE. Problem ten został później załatany (m.in. w linii 16.4.10315.56368). Dzisiejsza 0-day CVE-2025-11371 ponownie otwiera drogę do RCE: napastnik najpierw wyciąga machineKey przez LFI, a następnie wykorzystuje ten klucz do sfałszowania ViewState i wykonania kodu.

Analiza techniczna / szczegóły luki

• Typ: Local File Inclusion (LFI) w domyślnej instalacji i konfiguracji.
• Zakres: wszystkie wersje CentreStack i Triofox ≤ 16.7.10368.56560.
• Wektor: napastnik (bez uwierzytelnienia) może zdalnie odczytywać pliki na serwerze aplikacyjnym — kluczowym celem jest Web.config zawierający machineKey.
• Łańcuch do RCE: po zdobyciu machineKey możliwe jest sfałszowanie ASP.NET ViewState i wyzwolenie deserializacji po stronie serwera (mechanizm znany z CVE-2025-30406).
• Status łatek: brak patcha; producent pracuje nad poprawką; dostępna mitigacja w UploadDownloadProxy\Web.config.

Daty: Huntress zarejestrował udany exploit 27 września 2025 r., publiczny wpis techniczny opublikowano 9 października 2025 r.; NVD opublikowało rekord 9 października, a zmodyfikowało 10 października 2025 r.

Praktyczne konsekwencje / ryzyko

• Wycieki konfiguracji i sekretów: odczyt wrażliwych plików (np. Web.config) może ujawnić klucze i poświadczenia.
• Eskalacja do pełnego RCE: uzyskany machineKey pozwala ominąć integralność ViewState i wykonać kod z uprawnieniami procesu aplikacyjnego (często konto serwisowe IIS).
• Lateral movement i persystencja: po RCE możliwe wdrożenie implantów, kradzież danych, tunelowanie.
• Ekspozycja MSP/SMB: CentreStack/Triofox są popularne w środowiskach MSP/SMB i bywa, iż są wystawione do Internetu, co zwiększa powierzchnię ataku.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa mitigacja (konieczna do czasu patcha)
   • Edytuj C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config i usuń wpis handlera temp (linia wskazująca na komponent t.dn / Gladinet.Cloud.Proxy.TempHandler). Zrób kopię zapasową pliku; po zmianie zrestartuj usługę IIS/aplikację. (Wpływ: ograniczenie funkcji, ale blokada wektora LFI).
2. Zamknij wektor RCE w łańcuchu
   • Upewnij się, iż środowisko jest załatane pod kątem CVE-2025-30406 (usunięty machineKey z portal\web.config / wersje naprawcze od 16.4.10315.56368).
3. Twardnienie ekspozycji
   • Ogranicz dostęp z Internetu (VPN/ZTNA, allowlisty), WAF/IPS z regułami dla wzorców LFI, segmentacja i minimalne uprawnienia kont serwisowych.
4. Monitorowanie i IR
   • Szukaj w logach HTTP żądań wskazujących na LFI/path traversal i nietypowych odwołań do Web.config.
   • Telemetria serwera: procesy dziecko w3wp.exe uruchamiające podejrzane polecenia lub payloady base64 (wzorzec z obserwacji Huntress).
   • Jeśli środowisko mogło być podatne i wystawione: załóż kompromitację, przeprowadź przegląd kont/kluczy i rotację sekretów (zwłaszcza o ile machineKey wyciekł).
5. Zarządzanie ryzykiem i komunikacja
   • Aktualizuj rejestr podatności, śledź ogłoszenia sprzedawcy i NVD/KEV; zaplanuj wdrożenie patcha natychmiast po publikacji.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• CVE-2025-11371 (LFI) vs CVE-2025-30406 (ViewState/RCE)
  • 11371 to pierwotny wektor dostępu do plików (nie wymaga znajomości machineKey).
  • 30406 wymaga znajomości machineKey, ale daje RCE przez deserializację ViewState.
  • W praktyce napastnicy łączą obie luki: 11371 → kradzież machineKey → exploit 30406 → RCE.

Podsumowanie / najważniejsze wnioski

• Zagrożenie jest realne i bieżące (ataki obserwowane od 27.09.2025).
• Brak patcha wymusza mitigację konfiguracyjną — wyłączenie handlera temp w UploadDownloadProxy\Web.config.
• Największe ryzyko: łańcuch LFI → kradzież machineKey → ViewState RCE.
• Działaj teraz: wdroż mitgację, ogranicz ekspozycję, upewnij się, iż środowisko nie jest podatne na CVE-2025-30406, monitoruj i przygotuj IR.

Źródła / bibliografia

• Huntress — „Active Exploitation of Gladinet CentreStack and Triofox Local File Inclusion Flaw (CVE-2025-11371)”, 9 paź 2025. (mitigacja, chronologia, obserwacje w naturze). (Huntress)
• NVD — wpis „CVE-2025-11371” (opis, zakres wersji, zmiany z 9–10 paź 2025). (NVD)
• BleepingComputer — „Hackers exploiting zero-day in Gladinet file sharing software”, 10 paź 2025. (szczegóły łańcucha LFI→RCE, instrukcje mitigacji). (BleepingComputer)
• Help Net Security — „Attackers are exploiting Gladinet CentreStack, Triofox vulnerability with no patch (CVE-2025-11371)”, 10 paź 2025. (kontekst produktów, status patcha, cytaty z Huntress). (Help Net Security)
• NVD — wpis „CVE-2025-30406” (ViewState, wersja naprawcza 16.4.10315.56368). (NVD)