Gladinet CentreStack 零日漏洞被利用：組織遭駭事件解析與防禦建議

事件概述

2025 年 9 月 27 日，Huntress 研究團隊發現 Gladinet 旗下 CentreStack 與 Triofox 產品存在兩項互相叠加的漏洞，分別為 CVE-2025-11371（本地文件包含，LFI）與 CVE-2025-30406（硬編碼機器金鑰反序列化）。黑客利用 LFI 先取得 Web.config 並提取機器金鑰，隨後以 ViewState 反序列化執行遠端程式碼，造成至少三家公司系統被入侵。

雖然官方尚未釋出正式修補程式，但 CISA 已將兩項漏洞列入 KEV 目錄，並呼籲即時採取緩解措施。

漏洞技術細節

CVE-2025-11371：本地文件包含漏洞，允許未經身份驗證的攻擊者讀取系統檔案，尤其是 Web.config。此檔案中包含機器金鑰，為後續反序列化攻擊提供關鍵。
CVE-2025-30406：硬編碼機器金鑰反序列化漏洞，利用 ViewState 的完整性驗證機制失效，攻擊者可偽造 ViewState 內容，直接注入遠端程式碼。此漏洞已於 2025 年 3 月被實際利用。

兩項漏洞共同構成典型的「LFI → 反序列化 → 遠程程式碼執行」攻擊鏈。

攻擊流程

📂 收合（點我收起）

1. 未經授權訪問 CentreStack 服務。
2. 利用 CVE-2025-11371 讀取 /etc/centrestack/Web.config。
3. 從配置檔中提取硬編碼機器金鑰。
4. 構造惡意 ViewState，利用 CVE-2025-30406 注入 RCE。
5. 遠程執行任意指令，取得系統控制權。

受害組織案例

三家公司已被確認被攻擊，具體名稱未公開。
攻擊者取得機器金鑰後，能在受害環境中任意執行 PowerShell 腳本，造成資料外洩與遠端控制。
受害組織多為使用 CentreStack 作為內部文件共享與遠端存取的企業。

防禦與緩解建議

立即套用 Gladinet 發布的正式安全補丁，或使用官方提供的 CentreStack 16.7.10368.56560 以上版本。
若無法即時更新，啟用 Huntress 所建議的臨時緩解措施：在 Web.config 前加上 requestFiltering 限制，或將 LFI 目錄設定為只讀。
禁用 ViewState 加密或將 machineKey 從硬編碼改為動態生成並儲存於安全憑證儲存。
啟用 ASP.NET 的 ValidatePath 與 ValidateRequest，加強輸入驗證。
部署 WAF（Web 應用防火牆），針對 LFI 與反序列化攻擊設定規則。
定期檢查 Web.config 及其他重要配置檔，確保未被非法修改。
執行漏洞掃描與滲透測試，確認所有 LFI 與反序列化風險已被消除。
加強員工安全教育，避免使用未經驗證的 CentreStack 連線。

結論

Gladinet CentreStack 的 CVE-2025-11371 與 CVE-2025-30406 共同構成了典型的 LFI + 反序列化攻擊鏈，已被黑客實際利用造成組織安全事件。雖然官方補丁尚未釋出，企業仍可透過臨時緩解措施與嚴格的安全配置減少風險。建議立即與 Gladinet 取得連繫，確認補丁發布時間，並優先採取上述防禦措施，以保護企業資料與系統完整性。

MITRE ATT&CK 對應

T1036 – 變更偽裝（Masquerading）：利用 LFI 取得機器金鑰，偽裝為合法配置。
T1203 – 反序列化（Exploitation for Client Execution）：利用 CVE-2025-30406 注入 ViewState 進行遠端程式碼執行。
T1086 – PowerShell：攻擊者常使用 PowerShell 以遠端執行指令。
T1070 – 消除跡象：攻擊者可能清除日誌以隱匿行為。