code vulnerability access granted

Le partage de fichiers Gladinet Zero Day ramène d’entre les morts une faille corrigée

Lucas Morel

Les criminels ciblent une nouvelle vulnérabilité qui rend l’atténuation urgente, déclare la société SOC gérée.

Des criminels ont été repérés en train d’exploiter une nouvelle vulnérabilité zero-day dans les serveurs de partage de fichiers Gladinet CentreStack et Triofox, qui pourrait leur permettre de recréer les conditions d’une faille antérieure corrigée en avril, a prévenu la société de sécurité Huntress.

Normalement, les organisations corrigent une faille et supposent qu’elles ont terminé jusqu’à ce que le prochain problème survienne. Dans le cas de CVE-2025-11371, une vulnérabilité d’inclusion de fichiers locaux non authentifiée, les choses risquent d’être plus compliquées.

Huntress a découvert CVE-2025-11371 le 27 septembre lorsqu’un détecteur du centre d’opérations de sécurité (SOC) géré de l’entreprise a émis une alerte concernant l’exploitation réussie de CentreStack dans le logiciel d’un client.

Au début, les ingénieurs ont supposé que cela était lié à un précédent zero-day dans le même logiciel que la société avait annoncé en avril, une vulnérabilité de désérialisation ViewState permettant l’exécution de code à distance (RCE), suivie comme CVE-2025-30406.

Cependant, les ingénieurs ont découvert que le client ciblé exécutait une version de CentreStack corrigée contre cette vulnérabilité. Une analyse plus approfondie a révélé que la dernière détection était une toute nouvelle vulnérabilité qui avait été utilisée contre trois clients de Huntress.

Conte de deux défauts

Le problème sous-jacent révélé par le CVE-2025-30406 d’avril était que CentreStack et Triofox s’appuyaient sur une clé machine codée en dur. Une condition préalable à l’exploitation de cette faille était que les attaquants devaient découvrir cette machineKey, ce qui était facilité car chaque installation utilisait la même.

Un correctif a mis à jour cela afin que chaque nouvelle installation génère sa propre clé, laissant les administrateurs faire défiler manuellement les clés existantes.

Quel est le rapport avec CVE-2025-11371 ? Comme l’explique Huntress, la nouvelle faille « a permis à un acteur malveillant de récupérer la machineKey du fichier Web.config de l’application pour exécuter du code à distance via la vulnérabilité de désérialisation ViewState susmentionnée (CVE-2025-30406). »

En d’autres termes, en exploitant la nouvelle faille, les attaquants peuvent mettre la main sur la machineKey nécessaire, y compris celles qui ont été modifiées dans le cadre du correctif CVE-2025-30406.

Ainsi, CVE-2025-11371, bien que différent de CVE-2025-30406, pourrait être utilisé comme un moyen détourné pour réactiver un élément clé de ce qui rendait la faille d’April dangereuse.

Ce qu’il faut faire

Toutes les versions des serveurs de partage de fichiers CentreStack et Triofox jusqu’à 16.7.10368.56560 inclus sont vulnérables à CVE-2025-11371.

La mauvaise nouvelle est que Gladinet n’a pas encore publié de correctif pour cela, ce qui signifie que pour le moment, le mieux que les clients puissent faire est d’appliquer les mesures d’atténuation recommandées.

Heureusement, selon Huntress, c’est assez simple : désactivez le gestionnaire temporaire dans le fichier Web.config pour UploadDownloadProxy situé à l’emplacement :

« Cela aura un impact sur certaines fonctionnalités de la plateforme ; toutefois, cela garantira que cette vulnérabilité ne pourra pas être exploitée tant qu’elle n’aura pas été corrigée », a déclaré Huntress.

Gladinet semble avoir découvert la faille indépendamment de Huntress via un client commun et informe les autres clients de l’atténuation.

La découverte de la faille renforce le fait que de bons contrôles SOC peuvent souvent détecter des exploits même lorsque la faille exploitée est inconnue. Dans ce cas, il s’agissait « d’une charge utile base64 irrégulière exécutée en tant qu’enfant d’un processus de serveur Web », indique l’alerte Huntress.

« La nouvelle faille d’inclusion de fichiers locaux Gladinet montre comment les régressions post-correction peuvent réintroduire des chemins de risque critiques. En cas de doute, isolez ou désactivez immédiatement les gestionnaires vulnérables, même au prix de certaines fonctionnalités, pour fermer les fenêtres d’exploitation jusqu’à ce que le fournisseur publie un correctif validé », a-t-il déclaré.

Les systèmes de partage et de transfert de fichiers sont désormais une cible régulière pour les attaquants cherchant à voler des données à des fins d’extorsion, comme des exemples récents incluent une vulnérabilité dans le logiciel GoAnywhere MFT de Fortra et l’attaque de 2023 affectant 2 600 organisations utilisant le service de transfert de fichiers MOVEit.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Cyber Attack
Le géant médical Stryker paralysé après que des pirates informatiques iraniens aient effacé à distance des ordinateurs
data privacy data breach
Telus Digital victime d’une violation massive de données
Le métier de faux informaticien nord-coréen dévoilé
Le métier de faux informaticien nord-coréen dévoilé