Các nền tảng Gladinet CentreStack và Triofox đang đối mặt với các cuộc tấn công chủ động, khi các tác nhân đe dọa đang tích cực khai thác zero-day một lỗ hổng Local File Inclusion (LFI) không yêu cầu xác thực. Lỗ hổng này được định danh là CVE-2025-11371.

Lỗ hổng cho phép kẻ tấn công đọc các tệp nhạy cảm mà không cần đăng nhập.

Sau khi thu thập được khóa máy (machine key), chúng có thể kích hoạt lỗi deserialization view state để thực thi mã trên máy chủ.

Hiện chưa có bản vá chính thức, đòi hỏi các quản trị viên phải áp dụng biện pháp khắc phục tạm thời ngay lập tức.

Chi tiết Lỗ hổng và Chuỗi Tấn công

CVE-2025-11371: Lỗ hổng Local File Inclusion

Lỗ hổng CVE-2025-11371 là một vấn đề Local File Inclusion không xác thực.

Nó cho phép kẻ tấn công truy cập và đọc các tệp cấu hình quan trọng, điển hình là tệp Web.config.

Việc truy cập tệp Web.config cho phép kẻ tấn công trích xuất machine key, một thành phần quan trọng để duy trì trạng thái phiên và bảo mật mã hóa.

Lỗ hổng này đã được Huntress Security Operations Center phát hiện trong các cuộc tấn công thực tế.

Quy trình Khai thác từ LFI đến Remote Code Execution

Quy trình khai thác zero-day này diễn ra theo nhiều bước:

• Kẻ tấn công lợi dụng lỗ hổng LFI (CVE-2025-11371) để đọc tệp Web.config.
• Từ tệp này, chúng trích xuất machine key.
• Sử dụng machine key, kẻ tấn công tái sử dụng một phương pháp deserialization view state cũ đã biết.
• Kỹ thuật này cho phép chúng triển khai remote code execution (RCE) trên máy chủ bị ảnh hưởng.

Các hệ thống bị ảnh hưởng đang chạy các phiên bản mới hơn 16.4.10315.56368.

Đây là những phiên bản không còn bị ảnh hưởng bởi lỗ hổng deserialization CVE-2025-30406 trước đó, nhưng vẫn dễ bị tổn thương bởi LFI mới.

Phát hiện và Dấu hiệu Xâm nhập

Dấu hiệu Phát hiện trên Hệ thống

Vào ngày 27 tháng 9 năm 2025, trung tâm điều hành an ninh của Huntress đã xác định các nỗ lực khai thác zero-day thành công trên các phiên bản CentreStack.

Ít nhất ba khách hàng đã chứng kiến các cuộc tấn công này trong thực tế.

Việc phát hiện dựa trên việc nhận diện các payload base64 bất thường được tạo ra dưới các tiến trình của máy chủ web.

Thời điểm tấn công thành công đầu tiên được ghi nhận là vào lúc 20:48:37 UTC ngày 26 tháng 9 năm 2025.

Khi được phát hiện, các nhà phân tích đã cô lập các máy chủ bị ảnh hưởng để ngăn chặn sự xâm phạm tiếp theo.

Các Bước Giảm thiểu Khẩn cấp

Cho đến khi một bản vá bảo mật chính thức được phát hành, các tổ chức đang sử dụng hệ thống dễ bị tấn công nên áp dụng biện pháp khắc phục tạm thời ngay lập tức.

Biện pháp này là một bước quan trọng để ngăn chặn các cuộc khai thác zero-day đang diễn ra.

Hướng dẫn Cấu hình Giảm thiểu

Quản trị viên phải vô hiệu hóa mục nhập temp handler trong tệp UploadDownloadProxy Web.config.

Thay đổi này sẽ ngăn chặn lỗ hổng lỗ hổng CVE này bị kích hoạt:

<configuration>
  <system.webServer>
    <handlers>
      <add name="temp" path="t.dn" verb="*" type="Gladinet.WebApplication.CmisWeb.Temp, App_Code" /> <!-- REMOVE THIS LINE -->
      <!-- Other handlers -->
    </handlers>
  </system.webServer>
</configuration>

Việc loại bỏ dòng temp handler được đánh dấu sẽ cắt quyền truy cập vào endpoint t.dn.

Ảnh hưởng của Biện pháp Giảm thiểu

Thay đổi này có thể ảnh hưởng đến một số chức năng tải lên hoặc tải xuống tệp của hệ thống.

Tuy nhiên, nó là cần thiết để ngăn chặn các cuộc tấn công chủ động.

Sau khi vô hiệu hóa handler, quản trị viên cần khởi động lại dịch vụ web để đảm bảo thay đổi có hiệu lực.

Gladinet đã xác nhận lỗ hổng và đang làm việc để thông báo cho khách hàng về biện pháp khắc phục tạm thời này.

Huntress đã liên hệ Gladinet theo chính sách tiết lộ tiêu chuẩn, nhận được xác nhận và chia sẻ lời khuyên giảm thiểu với các khách hàng bị ảnh hưởng. Một bản vá bảo mật chính thức dự kiến sẽ sớm được phát hành.

Xem thêm chi tiết về phân tích của Huntress tại: Huntress Blog.

Phân tích Kỹ thuật và PoC

Trích xuất Web.config qua LFI

Đoạn mã proof-of-concept (PoC) sau đây minh họa cách kẻ tấn công thu thập tệp Web.config thông qua lỗ hổng LFI:

GET /UploadDownloadProxy/t.dn?filename=../../Web.config HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0

Yêu cầu này sẽ trả về nội dung của tệp Web.config, chứa các thông tin nhạy cảm như machine key.

Kích hoạt Remote Code Execution

Sau khi truy xuất Web.config và giải mã khóa view state, kẻ tấn công có thể tạo một yêu cầu POST độc hại:

POST /SomeVulnerablePage.aspx HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: [LENGTH]

__VIEWSTATEGENERATOR=XXXXX&__VIEWSTATE=[MALICIOUS_VIEWSTATE_PAYLOAD]

Payload này kích hoạt remote code execution dưới ngữ cảnh của máy chủ web.

Khuyến nghị Giám sát Log

Cho đến khi bản vá bảo mật vĩnh viễn được cung cấp, các quản trị viên cần theo dõi nhật ký hệ thống chặt chẽ.

Cần tìm kiếm các yêu cầu POST bất thường và dữ liệu giống base64 trong các tham số viewStateBlob hoặc __VIEWSTATE.

Việc giám sát liên tục là rất quan trọng để phát hiện và ngăn chặn nguy cơ khai thác zero-day và remote code execution.