Gladinet łata aktywnie wykorzystywany zero-day w CentreStack (CVE-2025-11371)

Wprowadzenie do problemu / definicja luki

Gladinet wydał poprawkę dla biznesowego rozwiązania do udostępniania plików CentreStack, usuwając podatność CVE-2025-11371. To nieautoryzowana LFI (Local File Inclusion), która była aktywnie wykorzystywana od końca września. Patch jest dostępny w wersji 16.10.10408.56683 CentreStack. Triofox pozostaje powiązany funkcjonalnie, ale komunikaty o wydaniu łaty dotyczą wprost CentreStack.

W skrócie

• Id: CVE-2025-11371 (LFI, ujawnienie plików systemowych bez uwierzytelnienia).
• Status: ataki „in the wild” potwierdzone (co najmniej trzy ofiary); patch już dostępny (16.10.10408.56683).
• Wektor nadużycia: odczyt Web.config → przejęcie machineKey → podpisanie danych i RCE przez deserializację ViewState.
• Wersje podatne (wg NVD): wszystkie do i łącznie z 16.7.10368.56560.

Kontekst / historia / powiązania

W kwietniu 2025 ujawniono krytyczne CVE-2025-30406: twardo zakodowane klucze kryptograficzne (machineKey) umożliwiały RCE przez deserializację ViewState. Błąd załatano (min. CentreStack 16.4.10315.56368), ale nowy zero-day CVE-2025-11371 pozwalał napastnikom odzyskać klucz z dysku i ponownie osiągnąć RCE mimo kwietniowej łaty. Stąd fala ataków we wrześniu/październiku.

Analiza techniczna / szczegóły luki

Huntress opisał ścieżkę nadużycia: publiczny endpoint obsługiwany przez klasę GladinetStorage.TempDownload w komponencie GSUploadDownloadProxy akceptował ciągi z sekwencjami przejścia katalogu. To pozwalało na odczyt dowolnych plików względem katalogu tymczasowego – w praktyce również .../root/Web.config. Po pobraniu Web.config atakujący wyciągał machineKey i przechodził do RCE poprzez przygotowanie złośliwego ViewState (deserializacja po stronie serwera). Huntress udostępnił minimalistyczny 1-liner PowerShell do pobrania Web.config jako PoC po tym, jak Gladinet wypuścił patch.

NVD potwierdza klasyfikację błędu jako LFI umożliwiającą niezamierzone ujawnienie plików oraz wskazuje zakres wersji podatnych (≤16.7.10368.56560). Horizon3.ai dodatkowo podkreśla, iż LFI → machineKey → RCE to łańcuch ataku możliwy w domyślnych instalacjach CentreStack/Triofox.

Praktyczne konsekwencje / ryzyko

• Przełamanie uwierzytelniania logicznego: dowolny, nieautoryzowany klient może czytać pliki aplikacyjne/OS (LFI).
• Eskalacja do pełnego kompromisu hosta Windows: po uzyskaniu machineKey możliwe jest zdalne wykonanie kodu z uprawnieniami procesu serwera WWW (w praktyce często SYSTEM).
• Ryzyko wtórne: kradzież danych klientów, pivot do sieci wewnętrznej, wstrzyknięcie web-shella, trwałość poprzez zadania harmonogramu/usługi.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiast zaktualizuj CentreStack do 16.10.10408.56683 (panel aktualizacji/instalator). Zweryfikuj wersję po aktualizacji.
2. Jeśli patch chwilowo niemożliwy – zastosuj mitigacje Huntress:
   • Wyłącz handler t.dn w UploadDownloadProxy\Web.config (usunięcie wpisu mapującego).
   • Ogranicz ekspozycję portali (geofencing/VPN/WAF), jeżeli to możliwe.
3. Natychmiastowa detekcja/IR:
   • Przejrzyj logi pod kątem żądań typu GET /storage/t.dn?s=..\..\..\Program+Files+(x86)\Gladinet+Cloud+Enterprise\root\Web.config&sid=1.
   • Szukaj nietypowych POST z zakodowanymi base64 payloadami oraz plików tymczasowych zawierających wyniki poleceń (np. CentreStac_log.txt).
   • Zresetuj/obróć wartości machineKey i inne sekrety, jeżeli istnieje podejrzenie odczytu Web.config.
4. Twarde utwardzenie konfiguracji ASP.NET:
   • Wymuś custom machineKey generowany per-instancję (nie domyślne).
   • Włącz ViewState MAC i rozważ ViewStateUserKey (zgodnie z best practices). (Wniosek wynikający z analizy mechanizmu ataku.)
5. Atak łańcuchowy a stare CVE: upewnij się, iż CVE-2025-30406 było wcześniej załatane (min. 16.4.10315.56368). Ten błąd historycznie umożliwiał RCE i pozostaje częścią łańcucha, jeżeli machineKey jest znany.

Różnice / porównania z innymi przypadkami

• CVE-2025-30406 (kwiecień 2025): problem z twardo zakodowanymi kluczami w Web.config → natychmiastowe RCE; naprawiony w 16.4.x.
• CVE-2025-11371 (październik 2025): LFI pozwala wydobyć machineKey z Web.config, co odtwarza warunki do RCE znane z wcześniejszej luki. Ta podatność została teraz załatana w 16.10.x.

Podsumowanie / najważniejsze wnioski

• Patch jest już dostępny – zaktualizuj do 16.10.10408.56683 bez zwłoki.
• LFI w CentreStack nie wymaga uwierzytelnienia i prowadzi do RCE przez kradzież machineKey.
• Nawet organizacje załatane na kwietniowe CVE-2025-30406 były podatne, dopóki CVE-2025-11371 pozostawało niezałatane.
• W logach szukaj śladów odczytu Web.config i nietypowych base64 payloadów. W razie podejrzeń rotuj klucze/sekrety i przeprowadź IR.

Źródła / bibliografia

• BleepingComputer: „Gladinet fixes actively exploited zero-day in file-sharing software” (16 października 2025) – informacja o wydaniu łat 16.10.10408.56683. (BleepingComputer)
• Huntress: „Active Exploitation of Gladinet CentreStack and Triofox Local File Inclusion Flaw (CVE-2025-11371)” – techniczne szczegóły LFI, ścieżka eksploatacji, IoC i mitigacje. Aktualizacja z 15 października. (Huntress)
• NVD: CVE-2025-11371 – opis podatności i zakres wersji podatnych (≤16.7.10368.56560). (NVD)
• NVD: CVE-2025-30406 – wcześniejsza luka RCE (hardcoded machineKey) oraz wersja naprawcza 16.4.10315.56368. (NVD)
• Horizon3.ai: Analiza CVE-2025-11371 (LFI → RCE) – omówienie łańcucha ataku. (Horizon3.ai)