Gladinet, tehdit aktörlerinin Eylül sonundan bu yana sıfır gün olarak yararlandığı yerel dosya ekleme güvenlik açığını (CVE-2025-11371) ele almak amacıyla CentreStack iş çözümü için güvenlik güncellemeleri yayınladı.
Siber güvenlik platformu Huntress'teki araştırmacılar, geçen hafta bu istismar faaliyetini açıklayarak, kusurun Gladinet'in CVE-2025-30406 olarak tanımlanan uzaktan kod yürütmeye (RCE) yol açan seri durumdan çıkarma güvenlik açığı için uyguladığı hafifletici önlemlere yönelik bir bypass olduğunu açıkladı.
Yerel dosya ekleme (LFI) güvenlik açığı, saldırganların tamamen yamalı CentreStack dağıtımlarındaki Web.config dosyasını okumasına, makine anahtarını çıkarmasına ve ardından bunu CVE-2025-30406'dan yararlanmak için kullanmasına olanak sağladı.
Huntress sıfır gün saldırıları konusunda uyardığında Gladinet müşteriler için hafifletici önlemler sağladı ve bir yama geliştirme sürecindeydi.
CVE-2025-11371'i ele alan güvenlik güncellemesi artık CentreStack 16.10.10408.56683 sürümünde mevcuttur ve yöneticilerin bunu yüklemeleri önemle tavsiye edilir.
Orijinal uyarıya yapılan bir güncellemede Huntress, CVE-2025-11371 hakkında minimum düzeyde kavram kanıtından yararlanma içeren daha fazla teknik ayrıntı paylaşıyor.
LFI sorununun temel nedeni, /storage/t.dn adresinden erişilebilen, 's=' parametresini kabul eden ve dizin geçişine yol açan geçici indirme işleyicisindeki bir temizleme hatasıdır.
Hizmet, NT AUTHORITY\SYSTEM olarak çalışıyor ve geçici klasöre göre dosyaları çözüyor. Bu kusur, saldırganların, ASP.NET makine anahtarını içeren Web.config dahil, SYSTEM hesabının erişebildiği herhangi bir dosyayı okumasına olanak tanıyor.
Bu anahtarla saldırganlar, CVE-2025-30406 nedeniyle sunucu tarafından seri durumdan çıkarılabilen kötü amaçlı bir ViewState verisi oluşturabilir ve bu da uzaktan kod yürütülmesine yol açabilir.
Vahşi doğada Huntress, Web.config'e dönen '/storage/t.dn?s=…' HTTP isteklerini ve ardından hedeflerde komut yürütülmesini tetikleyen base64 kodlu POST yüklerini gözlemledi.
Huntress, Web.config'i almak için '/storage/t.dn?s=...' kimliği doğrulanmamış bir isteğin nasıl kullanılabileceğini gösteren tek satırlık bir PowerShell Invoke-WebRequest örneği yayınladı.
Ancak araştırmacılar, daha önceki seri durumdan çıkarma RCE'si (CVE-2025-30406) dahil olmak üzere yararlanma zincirinin tamamını yayınlamadı.
Etkilenme potansiyeli olan kullanıcıların CentreStack 16.10.10408.56683 sürümüne yükseltmeleri önerilir.
Yeni sürümün yüklenmesi mümkün değilse, UploadDownloadProxy bileşeni için Web.config dosyasındaki geçici işleyiciyi dosyada tanımlayan satırı kaldırarak devre dışı bırakmak bir azaltıcı önlemdir.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
Bilgisayar korsanları Gladinet dosya paylaşım yazılımında sıfır günü istismar ediyor
Bilgisayar korsanları, anahtarlara rootkit dağıtmak için Cisco SNMP kusurundan yararlanıyor
Adobe, PoC'lerin yayınlanmasından sıfır gün sonra AEM Forms için acil durum düzeltmeleri yayınlıyor
Oracle, ShinyHunters tarafından sızdırılan sıfır gün istismarını sessizce düzeltir
Microsoft, sıfır gün saldırılarından sonra Edge'de IE modu erişimini kısıtlıyor
Kaynak: Bleeping Computer