Zero-day, sin parche y tres empresas comprometidas: cómo una nueva vulnerabilidad se convirtió en una pesadilla para las empresas
El fabricante guarda silencio desde hace dos semanas mientras los ciberdelincuentes perfeccionan sus técnicas de ataque.
Los analistas de Huntress registraron intentos activos de explotación de una nueva vulnerabilidad en los productos CentreStack y TrioFox de Gladinet. El problema se registra como la vulnerabilidad CVE-2025-11371 y consiste en un fallo de tipo LFI (inclusión local de archivos) que puede permitir el acceso no autorizado a archivos del sistema. Afecta a todas las versiones hasta e incluyendo la 16.7.10368.56560, y aún no se ha publicado una corrección.
La actividad maliciosa se detectó por primera vez el 27 de septiembre, cuando los especialistas encontraron rastros de ataques en tres clientes. En uno de los casos investigados, los atacantes aprovecharon la vulnerabilidad incluso en una versión más reciente, que no estaba afectada por otro problema crítico — CVE-2025-30406. Esto podría indicar que los adversarios están usando la nueva brecha para extraer una clave fija del archivo de configuración y ejecutar código de forma remota mediante una vulnerabilidad en la serialización de ViewState que ya se había utilizado en ataques previos.
La vulnerabilidad CVE-2025-11371 permite acceder al archivo Web.config y extraer de él la clave de máquina, lo que en combinación con la vulnerabilidad anterior puede conducir a la toma completa del control del sistema. Aunque ambas fallas difieren en su mecanismo de acción, podrían estar relacionadas y su uso sucesivo facilitaría la ejecución de código arbitrario en el servidor sin necesidad de autenticación.
Según las observaciones actuales, la atribución exacta de los atacantes sigue siendo desconocida. No obstante, en Huntress no descartan que los ataques provengan del mismo grupo que explotó anteriormente la vulnerabilidad CVE-2025-30406, dada la similitud de los enfoques y el mínimo esfuerzo necesario para encontrar una nueva vulnerabilidad en un software ya conocido.
Antes de que se publique una corrección oficial, se propone como solución temporal desactivar el controlador «temp» en el archivo Web.config ubicado en la ruta «C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config». Esto limitará parcialmente la funcionalidad del sistema, pero eliminará la posibilidad de explotación de la vulnerabilidad a través de ese canal.
Por ahora se han confirmado solo unos pocos casos de intrusión; sin embargo, la existencia de la vulnerabilidad sin una corrección disponible, junto con la actividad ya observada de los atacantes, indica la necesidad de medidas urgentes para proteger la infraestructura. Teniendo en cuenta incidentes anteriores con CentreStack y TrioFox, el problema actual solo subraya la necesidad de una respuesta rápida y de una auditoría interna de las configuraciones.
¿Estás cansado de que Internet sepa todo sobre ti?