Los investigadores han confirmado la explotación activa de una vulnerabilidad de inclusión de archivo local (LFI) en los productos Gladinet CentreStack y Triofox (rastreada como CVE-2025-11371). El ataque es particularmente peligroso porque la falla LFI se está encadenando con una vulnerabilidad previa de deserialización de ViewState (CVE-2025-30406) para lograr la Ejecución Remota de Código (RCE) en los servidores afectados.
Todas las versiones hasta e incluyendo la 16.7.10368.56560 están afectadas por defecto.
La Cadena de Ataque: De LFI a RCE
El atacante convierte una vulnerabilidad de lectura de archivos (LFI) en un control total del sistema mediante dos pasos clave:
- Explotación de LFI (CVE-2025-11371): El atacante explota la inclusión de archivos locales (que no requiere autenticación en la instalación por defecto) para leer archivos sensibles del servidor, siendo el objetivo principal el archivo.Web.config
- Robo y Forja de ViewState: Dentro de Web.config, el atacante encuentra la utilizada por ASP. NET para firmar y validar el ViewState. Una vez obtenido el, el adversario puede construir una carga (payload) maliciosa en el ViewState que, al ser deserializado por el servidor (abusando de CVE-2025-30406), ejecuta código en el contexto de la aplicación, resultando en RCE y control total del servidor.machineKeymachineKey
Mitigación Temporal
Dada la explotación activa documentada por Huntress, la mitigación temporal es crítica:
Se recomienda deshabilitar inmediatamente el controlador “temp” dentro del archivo del componente. Web.configUploadDownloadProxy
- Ruta Típica: C:Program Files (x86)Gladinet Cloud EnterpriseUploadDownloadProxyWeb.config
- Acción: Eliminar o comentar la sección del handler llamado temp. Esto impedirá que el vector de LFI sea explotado.
- Nota de Impacto: Esta acción impactará la funcionalidad de subida/descarga temporal; debe comunicarse a los equipos de operaciones antes de aplicarla en producción.
Plan de Acción Operativo
Acciones críticas
- Mitigación temporal:Aplicar la mitigación temporal (deshabilitarentrenador de animales temp) en todos los servidores CentreStack/TriofoxExpuestos a Internety en instancias internas accesibles.
- Aislamiento y Contención: Aislar las instancias expuestas a Internetmientras se aplica la mitigación y se realiza un análisis forense.
- Captura de Evidencia:Enanfitrionescon señales de compromiso,capturar registros de IIS,Imágenes del disco y volcados de memoria para buscar persistencia.
- Bloqueo en WAF/IDS:Implementar reglas en WAFs o IDS para detectar y bloquear patrones de LFI (secuencias. /o..) e intentos de lectura del archivoWeb.config.
Señales de Explotación (Para Búsqueda Forense)
Busca estas señales que indican que la vulnerabilidad LFI ya se usamos para lograr RCE:
- Exfiltración de configuración:Detección enregistrosweb opoderesde peticionesOBTENER/PUBLICARque intenta descargar o leer el archivoWeb.config.
- Patrones de Deserialización Maliciosa:Logs que muestren curiosidadesCORREOcon el encabezado__VIEWSTATEque contienen datos inusualmente largos (ej.,más de 20,000 bytes) o patrones de serialización.
- Procesos Anómalos:Procesos hijos del servidor web (típicamentew3wp.exeen IIS) que ejecutan binarios inusuales, cmd.exeopowershell.exe,y que inician conexiones salientes a C2.
Medidas de Refuerzo Estratégico
Post-Incidente
- Parche Oficial: Aplicar el parche oficialinmediatamente cuando Gladinet lo publique y verifique la integridad de los binarios.
- Reducir Exposición: No exponer interfaces de administraciónni servicios de gestión directamente a Internet.Utilizar bastiones,VPNs o listas blancas de IP.
- Medida Preventiva Clave
- Rotación de MachineKey / Hardening de ViewState: Evaluar la posibilidad derotar o eliminar elmachineKeydel codificadoWeb.config(una mitigación conocida para vulnerabilidades deEstado de vista), ya que su exposición es lo que permite la RCE en este encadenamiento.
- Auditoría de Integridad:Establecer procesos paraauditar la integridad de archivoscomoWeb.configy compararlos con plantillas limpias,detectando cualquier modificación no autorizada.
