هکرها از آسیبپذیری روز-صفر در نرمافزار Gladinet سوءاستفاده میکنند
بازیگران تهدید در حال سوءاستفاده از یک آسیبپذیری روز-صفر (CVE-2025-11371) در محصولات Gladinet CentreStack و Triofox هستند؛ این آسیبپذیری به مهاجم محلی امکان میدهد بدون احراز هویت به فایلهای سیستمی دسترسی پیدا کند.
تاکنون حداقل سه شرکت هدف این حملات قرار گرفتهاند. اگرچه هنوز وصلهای منتشر نشده است، اما مشتریان میتوانند اقدامات کاهش ریسک را اعمال کنند.
CentreStack و Triofox راهکارهای تجاری Gladinet برای اشتراکگذاری فایل و دسترسی از راه دور هستند که به سازمانها اجازه میدهند از فضای ذخیرهسازی داخلی خود بهعنوان یک سرویس ابری استفاده کنند. بنا بر اعلام شرکت سازنده، CentreStack «توسط هزاران کسبوکار در بیش از ۴۹ کشور» مورد استفاده قرار میگیرد.
تمام نسخهها آسیبپذیر هستند و هنوز وصلهای وجود ندارد
آسیبپذیری روز-صفر با شناسه CVE-2025-11371 یک نقص Local File Inclusion (LFI) است که نصب و پیکربندی پیشفرض هر دو محصول را تحت تأثیر قرار میدهد و شامل تمامی نسخهها از جمله آخرین نسخه ۱۶٫۷٫۱۰۳۶۸٫۵۶۵۶۰ میشود.
پژوهشگران پلتفرم امنیتی Huntress در تاریخ ۲۷ سپتامبر متوجه این نقص امنیتی شدند، زمانی که یک عامل تهدید با موفقیت از آن سوءاستفاده کرده و کلید ماشین را بهدست آورد و از راه دور کد مخرب اجرا کرد.
بررسی دقیقتر نشان داد که این مشکل نوعی LFI است که برای خواندن فایل Web.config و استخراج کلید ماشین مورد استفاده قرار گرفته است. این موضوع به مهاجم اجازه داد تا از آسیبپذیری قدیمیتر CVE-2025-30406 مربوط به deserialization بهرهبرداری کرده و از طریق ViewState به اجرای کد از راه دور (RCE) دست یابد.
آسیبپذیری CVE-2025-30406 در CentreStack و Triofox نیز پیشتر در ماه مارس مورد سوءاستفاده قرار گرفته بود و علت آن وجود یک کلید ماشین hardcoded بود که با دانستن آن، مهاجم میتوانست در سیستمهای آسیبدیده RCE انجام دهد.
به گفتهی شرکت Huntress:
«در پی تحلیلهای بعدی، مشخص شد که سوءاستفاده از آسیبپذیری LFI بدون نیاز به احراز هویت (CVE-2025-11371) به مهاجم امکان میداد کلید ماشین را از فایل Web.config استخراج کرده و از طریق آسیبپذیری deserialization یادشده، اجرای کد از راه دور را انجام دهد.»
شرکت Huntress یافتههای خود را به Gladinet گزارش داد. سازنده تأیید کرد که از آسیبپذیری آگاه است و اعلام کرد در حال اطلاعرسانی به مشتریان برای استفاده از یک راهکار موقت تا زمان انتشار وصله امنیتی میباشد.
پژوهشگران همچنین راهکار کاهش ریسک را برای مشتری هدف ارائه داده و توصیههای زیر را برای محافظت در برابر CVE-2025-11371 منتشر کردند:
- غیرفعال کردن temp handler در فایل Web.config مربوط به مؤلفهی UploadDownloadProxy در مسیر:
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config - خطی را که temp handler را تعریف میکند پیدا کرده و حذف کنید — این خط به فایل t.dn اشاره دارد.
این خط عملکرد آسیبپذیر را فعال میکند که مهاجمان از طریق Local File Inclusion از آن سوءاستفاده میکنند؛ بنابراین حذف آن مانع از بهرهبرداری از CVE-2025-11371 میشود.
پژوهشگران هشدار میدهند که این تدابیر کاهشدهنده «برخی از عملکردهای پلتفرم را تحتتأثیر قرار خواهند داد»، اما تأکید میکنند که با اعمال آنها این آسیبپذیری دیگر قابل بهرهبرداری نخواهد بود.
