Cybersikkerhedsforskere har opdaget en aktiv Gladinet zero-day-udnyttelse, der retter sig mod filhåndteringsplatformene CentreStack og Triofox. Sårbarheden gør det muligt for uautoriserede angribere at læse følsomme systemfiler og udføre fjernkode.
Fejlen, som spores som CVE-2025-11371, udgør en kritisk trussel mod organisationer, der anvender Gladinets virksomhedssoftware til filadgang. Angribere begyndte at udnytte sårbarheden i slutningen af september 2025, hvilket førte til hurtige advarsler fra sikkerhedsanalytikere.
Sådan fungerer udnyttelsen
Sårbarheden stammer fra en uautentificeret Local File Inclusion (LFI)-fejl i både CentreStack og Triofox. Den giver angribere adgang til konfigurationsfiler på sårbare systemer.
Når angriberne henter machineKey fra Web.config-filen, kan de kombinere den med en deserialiseringsfejl for at opnå fjernkørsel af kode. Denne kædede angrebsmetode giver fuld kontrol over den kompromitterede server.
Udnyttelsen kræver ingen brugerinteraktion og omgår fuldstændig autentificering. Dermed kan angribere trænge ind i systemerne hurtigt og forblive uopdagede i længere tid.
Berørte produkter og omfang
Alle ikke-opdaterede versioner af CentreStack og Triofox er sårbare. Den aktive Gladinet zero-day-udnyttelse påvirker både cloud-baserede og lokale installationer.
Disse produkter er populære blandt virksomheder, der anvender dem til fjernsynkronisering, sikker fildeling og hybrid cloud-integration. Derfor kan den potentielle eksponering omfatte følsomme virksomhedsdata og netværksoplysninger.
Afhjælpning og midlertidige løsninger
Gladinet har endnu ikke udgivet en officiel sikkerhedsopdatering for CVE-2025-11371. Forskere anbefaler dog en midlertidig løsning: Administratorer bør deaktivere “temp”-handleren i UploadDownloadProxy Web.config-filen.
Denne afhjælpning forstyrrer udnyttelsen, men kan begrænse visse filhåndteringsfunktioner. Organisationer bør desuden overvåge for usædvanlige filadgange og uventede ændringer i konfigurationen.
Hvorfor udnyttelsen er farlig
Den aktuelle Gladinet zero-day-udnyttelse kombinerer to sårbarheder – filinkludering og deserialisering – for at skabe en kraftfuld angrebskæde. Dette gør det muligt for angribere at infiltrere netværk uden at efterlade tydelige spor.
Når først de har fået adgang, kan angribere installere bagdøre, bevæge sig lateralt i netværket eller stjæle data, før de bliver opdaget. Udnyttelsens enkelhed og diskrete natur gør den attraktiv for både cyberkriminelle og statssponsorerede aktører.
Anbefalede handlinger for forsvarere
Sikkerhedsteams bør straks implementere den midlertidige løsning og begrænse adgangen til Gladinet-systemer. Logovervågning bør fokusere på filadgange fra Web.config-stien.
Administratorer bør desuden isolere sårbare servere og sikre korrekt netværkssegmentering. Når en officiel patch bliver tilgængelig, bør den installeres hurtigt for at forhindre yderligere kompromittering.
Konklusion
Gladinet zero-day-udnyttelsen viser, hvor hurtigt angribere kan udnytte nyligt opdagede sårbarheder. Da proof-of-concept-udnyttelser ofte offentliggøres hurtigt, står ikke-opdaterede systemer over for en øjeblikkelig risiko.
Organisationer bør handle hurtigt – implementere afhjælpning, styrke overvågningen og forberede installation af den officielle patch. I nutidens trusselsbillede er hurtig reaktion og lagdelt forsvar det bedste værn mod zero-day-angreb.
0 svar til “Gladinet zero-day-udnyttelse rammer CentreStack- og Triofox-platformene”