Underc0de - La Casa de los Informáticos

La empresa de ciberseguridad Huntress ha confirmado la explotación activa de una vulnerabilidad de día cero que afecta a los productos Gladinet CentreStack y TrioFox, dos soluciones empresariales de sincronización y acceso remoto a archivos ampliamente utilizadas en entornos corporativos.

El fallo, catalogado como CVE-2025-11371 y con una puntuación CVSS de 6.1, corresponde a un error de inclusión de archivos locales no autenticado (LFI) que permite a un atacante remoto acceder a archivos internos del sistema sin necesidad de autenticación. Este tipo de vulnerabilidad puede exponer información sensible, claves de configuración o credenciales que, en manos de un atacante experimentado, pueden desencadenar una cadena de explotación más grave.

Vulnerabilidad CVE-2025-11371: detalles técnicos

Según el análisis de Huntress, todas las versiones anteriores a la 16.7.10368.56560 de Gladinet CentreStack y TrioFox son vulnerables. La empresa detectó los primeros indicios de explotación el 27 de septiembre de 2025, cuando tres clientes reportaron actividad sospechosa vinculada a intentos de acceso a archivos críticos dentro de los sistemas afectados.

La vulnerabilidad permite a un atacante incluir y leer archivos locales del sistema operativo en el que se ejecuta la aplicación web. Entre los archivos más sensibles se encuentra el Web.config, un componente esencial en aplicaciones ASP.NET que puede contener la clave de máquina (machineKey) utilizada para firmar y validar los objetos de ViewState.

De acuerdo con el informe de Huntress, los atacantes están utilizando esta falla para extraer la clave de máquina desde el Web.config, lo que posteriormente les permite explotar otra vulnerabilidad anterior y más crítica: CVE-2025-30406.

Relación entre CVE-2025-11371 y CVE-2025-30406

CVE-2025-30406, con una puntuación CVSS de 9.0, fue revelada previamente como un caso de clave de máquina codificada que posibilitaba la ejecución remota de código (RCE) mediante la deserialización insegura de ViewState.

Aunque Gladinet lanzó parches para mitigar esa falla, Huntress descubrió que los atacantes están aprovechando CVE-2025-11371 para recuperar la clave necesaria desde versiones vulnerables y usarla contra instalaciones más nuevas, que ya no son directamente vulnerables al fallo de deserialización.

Este hallazgo sugiere una explotación encadenada:

• El atacante usa CVE-2025-11371 para obtener acceso no autorizado al archivo Web.config.
• Extrae la machineKey codificada en Base64.
• Utiliza dicha clave para firmar ViewState malicioso.
• Inyecta el payload en el servidor vulnerable para ejecutar código remoto.

Esta táctica demuestra un nivel de sofisticación creciente en los ataques dirigidos a plataformas de almacenamiento y acceso remoto en la nube, un segmento crítico en entornos empresariales distribuidos.

Impacto y riesgo para las organizaciones

La explotación combinada de CVE-2025-11371 y CVE-2025-30406 puede resultar en el compromiso total de servidores empresariales, permitiendo a un atacante:

• Robar información confidencial almacenada en los sistemas afectados.
• Manipular archivos o inyectar código malicioso en la aplicación web.
• Desplegar malware o ransomware a través del entorno comprometido.
• Usar el servidor comprometido como punto de acceso para moverse lateralmente dentro de la red corporativa.

Aunque CVE-2025-11371 tiene una puntuación media en la escala CVSS, su explotabilidad real se multiplica al combinarse con vulnerabilidades anteriores, convirtiéndola en un riesgo crítico para organizaciones que aún no han actualizado sus entornos Gladinet.

Medidas de mitigación recomendadas por Huntress

Huntress recomienda acciones inmediatas de mitigación mientras se desarrolla un parche oficial por parte de Gladinet. En concreto, los investigadores Bryan Masters, James Maclachlan, Jai Minton y John Hammond sugieren deshabilitar temporalmente el controlador "UploadDownloadProxy" dentro del archivo Web.config para evitar que la vulnerabilidad sea explotada.

La ruta afectada suele encontrarse en:

C:\Archivos de programa (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config


Aunque esta medida puede afectar ciertas funcionalidades del sistema, es la forma más efectiva de bloquear la explotación del fallo mientras se espera una actualización oficial.

Además, se recomienda:

• Limitar el acceso externo a las interfaces administrativas de CentreStack y TrioFox.
• Supervisar logs y conexiones en busca de patrones inusuales o intentos de acceso a archivos .config.
• Implementar reglas de detección en sistemas EDR/IDS para identificar tráfico anómalo o comandos sospechosos asociados a ViewState.
• Actualizar y revisar las configuraciones de IIS y ASP.NET, garantizando que las claves de máquina no estén codificadas de forma estática.
• Contactar al soporte de Gladinet para recibir parches o builds interinos que mitiguen el riesgo.

Vulnerabilidad crítica sin parche y explotación en curso

El descubrimiento de CVE-2025-11371 refuerza la necesidad de mantener una supervisión activa sobre las aplicaciones empresariales en la nube, especialmente aquellas que gestionan datos sensibles o sincronizan archivos entre entornos corporativos.

Mientras Gladinet aún no publica un parche oficial, la explotación confirmada por Huntress indica que la amenaza es real y actual. Las organizaciones que utilicen CentreStack o TrioFox deben actuar de inmediato aplicando las medidas temporales, restringiendo el acceso remoto y vigilando cualquier indicio de actividad anómala.

La historia reciente de estas plataformas demuestra que las vulnerabilidades encadenadas —como la combinación de LFI + deserialización ViewState— son una tendencia en ascenso, utilizada por atacantes que buscan maximizar el impacto y evadir detecciones convencionales.

La conclusión es clara: la prevención y la detección temprana son la única defensa eficaz frente a vulnerabilidades de día cero activamente explotadas.

Fuente: https://thehackernews.com/