Zero-Day-Angriff: Hacker nutzen ungepatchte Sicherheitslücke in Gladinet CentreStack und Triofox aus

Das Sicherheitsunternehmen Huntress hat eine aktive Ausnutzung einer nicht authentifizierten Local-File-Inclusion-Sicherheitslücke (CVE-2025-11371) in den Gladinet-Produkten CentreStack und Triofox entdeckt. Für die Schwachstelle existiert derzeit kein Patch, allerdings steht eine Abhilfemaßnahme bereit, die betroffene Unternehmen umgehend umsetzen sollten.

Bereits im April 2025 hatte Huntress über die Ausnutzung der kritischen Schwachstelle CVE-2025-30406 in denselben Produkten berichtet. Am 27. September 2025 registrierte das Huntress Security Operations Center (SOC) eine Warnmeldung über eine erfolgreiche Ausnutzung der CentreStack-Software. Die betroffene Version lag jedoch über der Version 16.4.10315.56368, die nicht mehr anfällig für CVE-2025-30406 war. Frühere Versionen enthielten einen fest codierten Maschinenschlüssel, der Angreifern über eine ViewState-Deserialisierungslücke Remote-Code-Ausführung ermöglichte.

Die anschließende Analyse zeigte, dass eine nicht authentifizierte Local-File-Inclusion-Schwachstelle (CVE-2025-11371) ausgenutzt wurde. Diese erlaubte Angreifern, den Maschinenschlüssel aus der Web.config-Datei auszulesen und dadurch erneut Remote-Code über die ViewState-Lücke auszuführen.

Während der Untersuchung stellte Huntress fest, dass Gladinet gemeinsam mit einem betroffenen Kunden bereits an einer Abhilfemaßnahme arbeitete. Das Unternehmen informierte Gladinet unmittelbar nach der Entdeckung gemäß seiner Offenlegungsrichtlinien über die Schwachstelle. Gladinet bestätigte daraufhin, dass es das Problem kannte und Kunden bereits über Sofortmaßnahmen informierte.

Huntress benachrichtigte zudem eigene betroffene Kunden. Nach bisherigen Erkenntnissen wurden drei Unternehmen Opfer der aktiven Ausnutzung. Da die Schwachstelle in den neuesten Versionen von CentreStack und Triofox weiterhin besteht, rät Huntress dringend, die empfohlenen Abhilfemaßnahmen umgehend umzusetzen.

Beobachtungen von Huntress

Am 26. September 2025 um 20:48:37 UTC reagierte das Security Operations Center (SOC) von Huntress auf einen internen Detektor, der zur Erkennung von Aktivitäten nach der Ausnutzung der Schwachstelle CVE-2025-30406 entwickelt worden war. Nach der Bestätigung der Bedrohung isolierte ein Analyst den betroffenen Host und verhinderte damit weitere schädliche Aktionen. Die Erkennung beruhte auf einer ungewöhnlichen Base64-Nutzlast, die als Unterprozess eines Webserver-Dienstes ausgeführt wurde.

Weitere technische Details zu den beobachteten Angriffen, der Schwachstellenanalyse und weiteren Erkenntnissen sollen nach der Veröffentlichung eines Patches bekannt gegeben werden.

Leitfaden zur Risikominderung

Huntress empfiehlt, den temporären Handler in der Datei Web.config für UploadDownloadProxy zu deaktivieren. Die Datei befindet sich unter folgendem Pfad:
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config

Das Deaktivieren dieser Funktion kann einige Plattformfunktionen einschränken, verhindert jedoch, dass die Schwachstelle bis zur Bereitstellung eines Patches ausgenutzt wird.

Grafik Quelle: Huntress 

Durch das Entfernen der entsprechenden Zeile in der Web.config-Datei lässt sich die Sicherheitslücke vorübergehend wirksam eindämmen.

Unsere Leseempfehlungen

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky