Güvenlik Operasyonları
Saldırganlar Gladinet CentreStack, Triofox’ta Sunucu Dosyalarını Okudu ve Kimlik Bilgilerini Çaldı
Anviksha Daha Fazla (AnvikshaDevamı) •
10 Ekim 2025
Araştırmacılar, bilgisayar korsanlarının, kurumsal dosya sistemlerine uzaktan erişimin kilidini açmak için erişim belirteçleri ve parolalar elde ettikleri, dosya paylaşımı ve uzaktan erişim yazılımlarındaki belge kök klasörü dosyalarına kimlik doğrulaması olmadan erişmelerine olanak tanıyan bir kusurdan yararlandıkları konusunda uyarıyor.
Ayrıca bakınız: Kötü Amaçlı Yazılıma Gerek Yok: Kimlik Saldırıları Yükselişte
Siber güvenlik şirketi Huntress, Gladinet CentreStack ve Triofox platformlarının yerel dosya ekleme güvenlik açığına karşı savunmasız olduğunu tespit etti. CVE-2025-11371 olarak izlenen sorun, uzaktaki saldırganların web uygulamalarının sıklıkla sunucu tarafı dosyaları çağırma biçiminden yararlanmasına olanak tanıyor. Huntress, açığa çıkan örnekleri hedef alan vahşi istismar gözlemlediğini söyledi.
Şirket, saldırganların kamuya açıklanmadan en az bir hafta önce savunmasız sistemleri taramaya ve hedeflemeye başladığını söyledi. Firma, 27 Eylül’de başlayan soruşturma sırasında 6.000’den fazla Gladinet CentreStack ve Triofox örneğinin internete sızdığını söyledi.
Bu kusur, bir saldırganın oturum açmadan uygulamanın dosya sistemindeki dosyaları talep etmesine ve okumasına olanak tanıyan, kimliği doğrulanmamış bir yerel dosya ekleme hatasıdır. Saldırganlar, etkilenen web uç noktalarına özel hazırlanmış girdiler sağlayabilir ve rastgele sunucu dosyalarını (örneğin, kriptografik anahtarlar, erişim belirteçleri veya parolalar içeren yapılandırma dosyaları) alabilir. Huntress, istismarcıların uygulamanın içeriğini okumak için yerel dosya ekleme kusurunu kullandığını söyledi. web.config ve makine anahtarını çıkarın; bu da kötü amaçlı bir sahtekarlık oluşturmak için kötüye kullanılabilir ViewState ve uzaktan kod yürütmeyi gerçekleştirin.
Güvenlik açığı kimlik doğrulama gerektirmediğinden ve internete yönelik kurulumları etkilediğinden, başarılı bir şekilde kullanılması, kimlik bilgilerinin ve hassas yapılandırma verilerinin anında açığa çıkmasına, kurumsal dosya sistemlerine yetkisiz erişime olanak tanımasına ve sunucuda kod yürütmek üzere zincirlenmesine neden olabilir.
Huntress teknik analizi, saldırı yolunun geçici bir işleyici kullandığını gösterdi. UploadDownloadProxy Dosya okumalarını tetikleyen bileşen. Bu işleyiciyi kaldırmak UploadDownloadProxyWeb.config yerel dosya ekleme yolunu engeller.
Aynı siber güvenlik firması daha önce Gladinet CentreStack ve Triofox platformlarında başka bir kritik kusuru (CVE-2025-30406) ortaya çıkarmıştı. uzaktan kod yürütülmesine izin vererek saldırganların savunmasız sunucular üzerinde kontrol sahibi olmalarını sağladı. Huntress, her iki güvenlik açığının da yazılımın kullanıcı tarafından sağlanan girdiyi işleme biçimindeki benzer zayıflıklardan kaynaklandığını ve ürünlerin tasarımındaki kalıcı güvenlik açıklarının altını çizdiğini söyledi.