ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ Zero-day (CVE-2025-11371) ในผลิตภัณฑ์ Gladinet CentreStack และ Triofox ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึง system files บนเครื่องได้โดยไม่ต้องผ่านการยืนยันตัวตน
จนถึงขณะนี้ มีบริษัทตกเป็นเป้าหมายแล้วอย่างน้อย 3 ราย แม้ว่าจะยังไม่มีแพตช์สำหรับการแก้ไขออกมา แต่ผู้ใช้งานสามารถใช้วิธีการลดความเสี่ยงชั่วคราวไปก่อนได้
CentreStack และ Triofox เป็น business solutions ของ Gladinet ในด้าน file sharing และการเข้าถึงจากระยะไกล ที่ช่วยให้บริษัทสามารถใช้พื้นที่จัดเก็บข้อมูลของตนเองสร้างเป็นคลาวด์ส่วนตัวได้ โดยผู้พัฒนาระบุว่า CentreStack ถูกใช้งานโดยธุรกิจหลายพันแห่งจากกว่า 49 ประเทศ
ยังไม่มีแพตช์แก้ไข และส่งผลกระทบกับทุกเวอร์ชัน
ช่องโหว่ Zero-day (CVE-2025-11371) เป็นช่องโหว่ประเภท Local File Inclusion (LFI) ที่ส่งผลกระทบต่อการติดตั้ง และการกำหนดค่าเริ่มต้นของผลิตภัณฑ์ทั้งสอง โดยกระทบทุกเวอร์ชัน รวมถึงเวอร์ชันล่าสุด 16.7.10368.56560
นักวิจัยจาก managed cybersecurity platform ของ Huntress ได้ตรวจพบช่องโหว่นี้เมื่อวันที่ 27 กันยายนที่ผ่านมา หลังจากมีผู้โจมตีรายหนึ่งโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จเพื่อเข้าถึง machine key และเรียกใช้โค้ดจากระยะไกลได้
จากการวิเคราะห์เชิงลึกพบว่า ช่องโหว่ดังกล่าวคือ LFI เพื่ออ่านไฟล์ Web.config และดึงข้อมูล machine key ออกมา ซึ่ง machine key นี้ทำให้ผู้โจมตีสามารถใช้การโจมตีจากช่องโหว่เก่า Deserialization (CVE-2025-30406) เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ผ่านทาง ViewState ได้สำเร็จ
ช่องโหว่ Deserialization (CVE-2025-30406) ใน CentreStack และ Triofox เคยถูกนำมาใช้ในการโจมตีจริงมาแล้วในเดือนมีนาคม โดยมีสาเหตุมาจากการใช้ machine key แบบ hardcoded ซึ่งทำให้ผู้โจมตีที่รู้ key ดังกล่าวสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนระบบที่ได้รับผลกระทบได้
Huntress ได้ติดต่อ Gladinet เพื่อแจ้งให้ทราบถึงการค้นพบดังกล่าว ทางผู้พัฒนายืนยันว่าพวกเขาทราบถึงช่องโหว่นี้แล้ว และระบุว่ากำลังอยู่ในขั้นตอนการแจ้งให้ลูกค้าทราบถึงวิธีการแก้ไขปัญหาชั่วคราวจนกว่าจะมีแพตช์แก้ไขออกมา
ทีมนักวิจัยได้แชร์วิธีลดความเสี่ยงให้กับลูกค้าที่ตกเป็นเป้าหมาย และได้เผยแพร่คำแนะนำต่อไปนี้เพื่อป้องกันช่องโหว่ CVE-2025-11371 :
- ปิดการทำงานของ temp handler ในไฟล์ Web.config ของ UploadDownloadProxy component ซึ่งอยู่ที่ Path
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config - ค้นหา และลบบรรทัดโค้ดที่กำหนดค่า temp handler - โดยจุดสังเกตที่ง่ายที่สุด คือในประโยคนั้นจะมีคำว่า t.dn อยู่ด้วย
โค้ดบรรทัดนี้คือส่วนที่เปิดใช้งานฟังก์ชันที่มีช่องโหว่ ซึ่งผู้โจมตีใช้เทคนิค Local File Inclusion ในการโจมตี ดังนั้นการลบออกจะช่วยป้องกันการโจมตีจากช่องโหว่ CVE-2025-11371 ได้
นักวิจัยเตือนว่าวิธีลดความเสี่ยงจากผลกระทบนี้อาจจะส่งผลต่อฟังก์ชันการทำงานบางอย่างของแพลตฟอร์ม แต่ก็เป็นวิธีที่ทำให้มั่นใจได้ว่าช่องโหว่ดังกล่าวจะไม่ถูกนำมาใช้ในการโจมตีได้อย่างแน่นอน
ที่มา : bleepingcomputer
You must be logged in to post a comment.