Tehdit aktörleri, Gladinet CentreStack ve Triofox ürünlerinde yerel bir saldırganın kimlik doğrulaması olmadan sistem dosyalarına erişmesine olanak tanıyan sıfır gün güvenlik açığından (CVE-2025-11371) yararlanıyor.
Şu ana kadar en az üç şirket hedef alındı. Henüz bir yama mevcut olmasa da müşteriler azaltıcı önlemler uygulayabilir.
CentreStack ve Triofox, Gladinet'in dosya paylaşımı ve uzaktan erişime yönelik, bir şirketin kendi depolama alanını bulut olarak kullanmasına olanak tanıyan iş çözümleridir. Satıcıya göre CentreStack "49'dan fazla ülkeden binlerce işletme tarafından kullanılıyor."
Sıfır gün güvenlik açığı CVE-2025-11371, her iki ürünün varsayılan kurulumunu ve yapılandırmasını etkileyen ve en son sürüm olan 16.7.10368.56560 da dahil olmak üzere tüm sürümleri etkileyen bir Yerel Dosya Ekleme (LFI) kusurudur.
Yönetilen siber güvenlik platformu Huntress'teki araştırmacılar, güvenlik sorununu 27 Eylül'de bir tehdit aktörünün bir makine anahtarı elde etmek ve kodu uzaktan yürütmek için başarıyla kullandığında tespit etti.
Daha ayrıntılı bir analiz, sorunun Web.config dosyasını okumak ve makine anahtarını çıkarmak için kullanılan bir LFI'dan kaynaklandığını ortaya çıkardı. Bu, saldırganın daha eski bir seri durumdan çıkarma güvenlik açığını (CVE-2025-30406) kullanmasına ve ViewState aracılığıyla uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanıdı.
CentreStack ve Triofox'taki CVE-2025-30406 seri durumdan çıkarma hatası da Mart ayında yaygın olarak kullanıldı ve bunun nedeni sabit kodlanmış bir makine anahtarıydı. Anahtarı bilen bir saldırgan, etkilenen sistemde RCE gerçekleştirebilir.
"Sonraki analizlerden sonra Huntress, kimliği doğrulanmamış bir yerel dosya ekleme güvenlik açığından (CVE-2025-11371) yararlanıldığını keşfetti; bu güvenlik açığı, bir tehdit aktörünün, yukarıda belirtilen ViewState seri durumdan çıkarma güvenlik açığı aracılığıyla uzaktan kod yürütmek üzere uygulama Web.config dosyasından makine anahtarını almasına olanak tanıdı" - Huntress
Huntress, bulguyu bildirmek için Gladinet ile temasa geçti. Satıcı, güvenlik açığından haberdar olduğunu doğruladı ve bir yama çıkana kadar müşterilere geçici çözüm konusunda bilgi verme sürecinde olduğunu söyledi.
Araştırmacılar, azaltmayı hedeflenen müşteriyle paylaştı ve CVE-2025-11371'e karşı korunmak için aşağıdaki önerileri yayınladı:
Bu satır, saldırganların Yerel Dosya Ekleme yoluyla yararlandığı güvenlik açığı işlevselliğini etkinleştirir, böylece bu satırın kaldırılması CVE-2025-11371'in kötüye kullanılmasını önler.
Araştırmacılar, hafifletici önlemlerin "platformun bazı işlevlerini etkileyeceği" konusunda uyarıyor ancak güvenlik açığından yararlanılamayacağından emin oluyorlar.
İhlal ve Saldırı Simülasyon Zirvesine katılın ve güvenlik doğrulamanın geleceğini deneyimleyin. En iyi uzmanlardan bilgi alın ve yapay zeka destekli BAS'ın ihlal ve saldırı simülasyonunu nasıl dönüştürdüğünü görün.
Güvenlik stratejinizin geleceğini şekillendirecek etkinliği kaçırmayın
Yaklaşık 50.000 Cisco güvenlik duvarı aktif olarak istismar edilen kusurlara karşı savunmasız
CISA, aktif olarak istismar edilen Dassault RCE güvenlik açığı konusunda uyardı
28.000'den fazla Citrix cihazı, yeni istismar edilen RCE kusuruna karşı savunmasız
DrayTek, Vigor yönlendiricilerindeki uzaktan kod yürütme hatası konusunda uyardı
Samsung yamaları, WhatsApp'ın bildirdiği sıfırıncı günden aktif olarak yararlanıyor
Kaynak: Bleeping Computer