Цепная реакция: как уязвимость чтения файлов в Gladinet приводит к захвату сервера

Обнаружена и активно эксплуатируется новая уязвимость нулевого дня в продуктах Gladinet CentreStack и TrioFox. Уязвимость, получившая идентификатор CVE-2025-11371, позволяет неаутентифицированному злоумышленнику читать произвольные файлы на сервере. Все версии, включая 16.7.10368.56560 и более ранние, подвержены риску. Официального исправления на данный момент не существует.
Цепная реакция: как уязвимость чтения файлов в Gladinet приводит к захвату сервера
Изображение носит иллюстративный характер

Проблема была впервые зафиксирована 27 сентября 2025 года специалистами по кибербезопасности из компании Huntress. На момент публикации отчета было подтверждено как минимум три случая успешной эксплуатации уязвимости против клиентов Huntress. В обнаружении и анализе угрозы приняли участие исследователи Брайан Мастерс, Джеймс Маклахлан, Джай Минтон и Джон Хаммонд.

Атака представляет собой многоступенчатый процесс, который начинается с использования уязвимости локального включения файлов (LFI), оцененной в 6.1 балла по шкале CVSS. На первом этапе злоумышленники эксплуатируют CVE-2025-11371 для доступа к файловой системе сервера. Их основной целью является конфигурационный файл Web.config.

Получив доступ к Web.config, атакующие извлекают из него ключевой элемент — секретный «машинный ключ» (machine key) приложения. Этот ключ является основой для следующего, гораздо более разрушительного этапа атаки.

Используя похищенный машинный ключ, злоумышленники эксплуатируют уязвимость десериализации ViewState. Это позволяет им выполнить произвольный код на сервере удаленно (RCE), что фактически означает получение полного контроля над скомпрометированной системой. Таким образом, уязвимость средней степени тяжести становится инструментом для критической атаки.

Метод удаленного выполнения кода не является новым. Он связан с ранее известной критической уязвимостью CVE-2025-30406, имевшей оценку 9.0 по CVSS. Та проблема заключалась в использовании жестко закодированного машинного ключа, который позволял проводить аналогичную атаку через десериализацию ViewState.

Хотя уязвимость CVE-2025-30406 была исправлена в версиях новее 16.4.10315.56368 путем смены жестко закодированного ключа, новая уязвимость CVE-2025-11371 делает этот патч неэффективным. Теперь атакующим не нужен старый ключ — они могут просто украсть новый, сгенерированный системой, и использовать тот же самый вектор атаки для достижения RCE.

В связи с активной эксплуатацией и отсутствием официального патча, компания Huntress воздерживается от публикации полных технических деталей уязвимости, чтобы не спровоцировать массовые атаки.

Для защиты систем администраторам настоятельно рекомендуется применить временное решение. Необходимо вручную отключить обработчик "temp" в конфигурационном файле Web.config.

Данный файл обычно находится по пути C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config.

Применение этого обходного пути приведет к нарушению некоторой функциональности платформы. Однако этот шаг является необходимой мерой для предотвращения эксплуатации уязвимости до тех пор, пока производитель не выпустит официальное обновление безопасности.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка