Neautentifikovana ranjivost lokalnog uključivanja fajlova omogućava hakerima da preuzmu machine key i izvrše daljinski kod putem ViewState deserializacije.
Gladinet je ove sedmice objavio zakrpe za ranjivost u CentreStack softveru koja se aktivno iskorišćava u napadima još od kraja septembra.
Ranjivost je označena kao CVE-2025-11371 i opisuje se kao neautentifikovana ranjivost uključivanja fajlova koja napadačima omogućava pristup sistemskim fajlovima.
Greška utiče na podrazumijevana podešavanja Gladinetovih proizvoda CentreStack i TrioFox, a korišćena je kao zero-day da bi se preuzeo kriptografski ključ machineKey iz konfiguracionog fajla i potom izvršio proizvoljan kod na daljinu.
Da bi postigli izvršavanje koda na daljinu, hakeri su iskoristili ranjivost u ViewState deserializaciji, objašnjava kompanija Huntress.
Ova ViewState ranjivost prethodno je korišćena i u napadima na ranije otkrivenu grešku CVE-2025-30406, ozbiljnu ranjivost u CentreStack i TrioFox aplikacijama koja je proistekla iz prisustva hard-kodovanih ključeva u konfiguracionim fajlovima.
Uz poznati machineKey, napadač može zaobići ASPX ViewState zaštite i izvršiti proizvoljan kod sa privilegijama korisnika IIS application pool-a. Uspješno iskorišćavanje omogućava potpuni preuzimanje kontrole nad ranjivim sistemom.
Gladinet je još u aprilu zakrpio CVE-2025-30406 ažuriranjem jednog od konfiguracionih fajlova i uklanjanjem hard-kodovanog ključa iz drugog.
U najnovijim napadima koje je otkrio Huntress, hakeri sada koriste CVE-2025-11371 da bi pristupili konfiguracionom fajlu koji sadrži machineKey, što im omogućava deserializacioni napad i izvršavanje komandi na ranjivom sistemu.
Gladinet je riješio novu ranjivost u verziji CentreStack 16.10.10408.56683. Zbog činjenice da je ranjivost već aktivno iskorišćavana, organizacijama i korisnicima se savjetuje da odmah primijene zakrpe.
CentreStack je on-premise rješenje za dijeljenje fajlova u cloud-u, koje omogućava bezbjedno dijeljenje i saradnju unutar organizacija. Može se implementirati od strane MSP provajdera i integrisati sa postojećom infrastrukturom.
Izvor: SecurityWeek
