Cybersicherheitsforscher haben einen aktiven Gladinet Zero-Day-Exploit entdeckt, der auf die Dateiverwaltungsplattformen CentreStack und Triofox abzielt. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sensible Systemdateien auszulesen und Remote-Code auszuführen.
Die Sicherheitslücke, die unter CVE-2025-11371 registriert ist, stellt eine kritische Bedrohung für Organisationen dar, die Gladinets Unternehmenslösungen für Datei- und Cloudzugriff einsetzen. Angriffe begannen Ende September 2025, was umgehend zu Warnungen von Sicherheitsanalysten führte.
So funktioniert der Exploit
Die Schwachstelle resultiert aus einer nicht authentifizierten Local File Inclusion (LFI)-Schwachstelle in sowohl CentreStack als auch Triofox. Sie erlaubt Angreifern den Zugriff auf Konfigurationsdateien betroffener Systeme.
Sobald Angreifer den machineKey aus der Web.config-Datei abrufen, können sie ihn mit einer Deserialisierungs-Schwachstelle kombinieren, um Remote-Code auszuführen. Diese verkettete Angriffstechnik verschafft vollständige Kontrolle über den kompromittierten Server.
Der Exploit erfordert keinerlei Benutzerinteraktion und umgeht die Authentifizierung vollständig. Dadurch können Angreifer Systeme schnell infiltrieren und über längere Zeit unentdeckt bleiben.
Betroffene Produkte und Umfang
Alle ungepatchten Versionen von CentreStack und Triofox sind anfällig. Der aktive Gladinet Zero-Day-Exploit betrifft sowohl Cloud- als auch On-Premises-Implementierungen.
Diese Produkte werden häufig von Unternehmen eingesetzt, die sie für Remote-Dateisynchronisierung, sichere Freigabe und hybride Cloud-Integration nutzen. Somit umfasst die potenzielle Gefährdung sensible Unternehmensdaten und Netzwerkzugangsdaten.
Minderung und temporäre Workarounds
Gladinet hat bislang keinen offiziellen Patch für CVE-2025-11371 veröffentlicht. Forscher empfehlen jedoch eine temporäre Lösung: Administratoren sollten den „temp“-Handler in der UploadDownloadProxy Web.config-Datei deaktivieren.
Diese Maßnahme unterbricht die Ausführung des Exploits, kann jedoch bestimmte Dateioperationen einschränken. Zusätzlich sollten Organisationen auf ungewöhnliche Dateiaktivitäten und unerwartete Konfigurationsänderungen achten.
Warum der Exploit besonders gefährlich ist
Der Gladinet Zero-Day-Exploit kombiniert zwei Schwachstellen – File Inclusion und Deserialisierung – zu einer leistungsstarken Angriffskette. Dadurch können Angreifer Netzwerke infiltrieren, ohne offensichtliche Spuren zu hinterlassen.
Einmal eingedrungen, können sie Hintertüren installieren, sich lateral im Netzwerk bewegen oder Daten stehlen, bevor die Kompromittierung entdeckt wird. Die Einfachheit und Unauffälligkeit der Methode machen sie attraktiv für Cyberkriminelle ebenso wie für staatlich unterstützte Angreifer.
Empfohlene Maßnahmen für Verteidiger
Sicherheitsteams sollten umgehend den temporären Workaround anwenden und den Zugriff auf Gladinet-Systeme einschränken. Logüberwachung sollte sich auf Dateiabrufe aus dem Web.config-Pfad konzentrieren.
Administratoren sollten zudem anfällige Server isolieren und eine strikte Netzwerksegmentierung sicherstellen. Sobald ein offizieller Patch verfügbar ist, sollte dieser unverzüglich implementiert werden, um weitere Kompromittierungen zu verhindern.
Fazit
Der Gladinet Zero-Day-Exploit zeigt, wie schnell Angreifer neu entdeckte Schwachstellen ausnutzen. Da öffentliche Proof-of-Concept-Exploits meist rasch erscheinen, sind ungepatchte Systeme einem sofortigen Risiko ausgesetzt.
Organisationen müssen schnell reagieren – temporäre Maßnahmen anwenden, die Überwachung verstärken und sich auf offizielle Sicherheitsupdates vorbereiten. In der heutigen Bedrohungslandschaft sind schnelle Reaktion und mehrschichtige Abwehr die besten Mittel gegen Zero-Day-Angriffe.
0 Antworten zu „Gladinet Zero-Day-Exploit trifft CentreStack- und Triofox-Plattformen“