“พบช่องโหว่ Zero-Day ร้ายแรงใน Gladinet/Triofox — แฮกเกอร์ใช้ LFI ดึง machine key แล้วรันโค้ดบนเซิร์ฟเวอร์ทันที”
บริษัท Huntress ได้ออกคำเตือนถึงช่องโหว่ Zero-Day ใหม่ในซอฟต์แวร์ Gladinet CentreStack และ Triofox ซึ่งเป็นแพลตฟอร์มแชร์ไฟล์และจัดการข้อมูลสำหรับองค์กร โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-11371 และมีระดับความรุนแรง CVSS 6.1 ซึ่งแม้จะไม่สูงสุด แต่มีการโจมตีจริงแล้วในหลายองค์กร
ช่องโหว่นี้เป็นแบบ Local File Inclusion (LFI) ที่เปิดให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญในระบบได้โดยไม่ต้องยืนยันตัวตน โดยเฉพาะไฟล์ Web.config ที่เก็บ machine key ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสข้อมูลในระบบ ASP.NET
เมื่อแฮกเกอร์ได้ machine key แล้ว จะสามารถใช้ช่องโหว่เก่า CVE-2025-30406 ที่เกี่ยวข้องกับ ViewState deserialization เพื่อสร้าง payload ที่ผ่านการเข้ารหัสอย่างถูกต้อง แล้วรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที โดยไม่ต้อง login หรือมีสิทธิ์ใด ๆ
Huntress ตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 26 กันยายน 2025 ผ่านระบบตรวจจับภายใน โดยพบ payload แบบ base64 ถูกเรียกใช้เป็น child process ของ web server ซึ่งเป็นสัญญาณของการโจมตีหลังการ deserialization
แม้ช่องโหว่ CVE-2025-30406 จะถูกแก้ไขไปแล้วในเวอร์ชันใหม่ของ CentreStack แต่ช่องโหว่ CVE-2025-11371 กลับเปิดทางให้แฮกเกอร์ใช้ช่องโหว่เก่าได้อีกครั้งผ่านการดึง machine key ทำให้การโจมตีมีประสิทธิภาพสูงและยากต่อการตรวจจับ
ขณะนี้ยังไม่มี patch อย่างเป็นทางการจาก Gladinet แต่ Huntress ได้เสนอวิธีแก้ไขชั่วคราว โดยให้ผู้ดูแลระบบเข้าไปลบ handler ที่ชื่อ t.dn ในไฟล์ Web.config ของ UploadDownloadProxy เพื่อปิดช่องทางการเข้าถึงที่ใช้ในการโจมตี
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11371 เป็นแบบ Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox
ผู้โจมตีสามารถดึงไฟล์ Web.config เพื่อขโมย machine key โดยไม่ต้อง login
ใช้ machine key เพื่อรันโค้ดผ่านช่องโหว่ ViewState deserialization (CVE-2025-30406)
Huntress ตรวจพบการโจมตีจริงใน 3 องค์กรแล้ว
การโจมตีเริ่มจาก payload base64 ที่รันเป็น child process ของ web server
ช่องโหว่ CVE-2025-30406 เคยถูกแก้ไขแล้ว แต่ถูกนำกลับมาใช้ผ่านช่องโหว่ใหม่
ยังไม่มี patch อย่างเป็นทางการจาก Gladinet
Huntress แนะนำให้ลบ handler t.dn ใน Web.config เพื่อปิดช่องทางการโจมตี
ข้อมูลเสริมจากภายนอก
ViewState เป็นกลไกของ ASP.NET ที่ใช้เก็บสถานะของหน้าเว็บ
Deserialization คือการแปลงข้อมูลกลับเป็น object ซึ่งหากไม่ปลอดภัยอาจถูกใช้โจมตี
LFI เป็นช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในระบบโดยไม่ต้องมีสิทธิ์
Machine key ใช้ในการเข้ารหัสข้อมูลสำคัญ เช่น session และ ViewState
การโจมตีแบบนี้สามารถใช้เพื่อฝังมัลแวร์หรือเปิด backdoor บนเซิร์ฟเวอร์
https://securityonline.info/exploited-zero-day-gladinet-triofox-flaw-cve-2025-11371-allows-rce-via-lfi/
บริษัท Huntress ได้ออกคำเตือนถึงช่องโหว่ Zero-Day ใหม่ในซอฟต์แวร์ Gladinet CentreStack และ Triofox ซึ่งเป็นแพลตฟอร์มแชร์ไฟล์และจัดการข้อมูลสำหรับองค์กร โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-11371 และมีระดับความรุนแรง CVSS 6.1 ซึ่งแม้จะไม่สูงสุด แต่มีการโจมตีจริงแล้วในหลายองค์กร
ช่องโหว่นี้เป็นแบบ Local File Inclusion (LFI) ที่เปิดให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญในระบบได้โดยไม่ต้องยืนยันตัวตน โดยเฉพาะไฟล์ Web.config ที่เก็บ machine key ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสข้อมูลในระบบ ASP.NET
เมื่อแฮกเกอร์ได้ machine key แล้ว จะสามารถใช้ช่องโหว่เก่า CVE-2025-30406 ที่เกี่ยวข้องกับ ViewState deserialization เพื่อสร้าง payload ที่ผ่านการเข้ารหัสอย่างถูกต้อง แล้วรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที โดยไม่ต้อง login หรือมีสิทธิ์ใด ๆ
Huntress ตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 26 กันยายน 2025 ผ่านระบบตรวจจับภายใน โดยพบ payload แบบ base64 ถูกเรียกใช้เป็น child process ของ web server ซึ่งเป็นสัญญาณของการโจมตีหลังการ deserialization
แม้ช่องโหว่ CVE-2025-30406 จะถูกแก้ไขไปแล้วในเวอร์ชันใหม่ของ CentreStack แต่ช่องโหว่ CVE-2025-11371 กลับเปิดทางให้แฮกเกอร์ใช้ช่องโหว่เก่าได้อีกครั้งผ่านการดึง machine key ทำให้การโจมตีมีประสิทธิภาพสูงและยากต่อการตรวจจับ
ขณะนี้ยังไม่มี patch อย่างเป็นทางการจาก Gladinet แต่ Huntress ได้เสนอวิธีแก้ไขชั่วคราว โดยให้ผู้ดูแลระบบเข้าไปลบ handler ที่ชื่อ t.dn ในไฟล์ Web.config ของ UploadDownloadProxy เพื่อปิดช่องทางการเข้าถึงที่ใช้ในการโจมตี
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-11371 เป็นแบบ Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox
ผู้โจมตีสามารถดึงไฟล์ Web.config เพื่อขโมย machine key โดยไม่ต้อง login
ใช้ machine key เพื่อรันโค้ดผ่านช่องโหว่ ViewState deserialization (CVE-2025-30406)
Huntress ตรวจพบการโจมตีจริงใน 3 องค์กรแล้ว
การโจมตีเริ่มจาก payload base64 ที่รันเป็น child process ของ web server
ช่องโหว่ CVE-2025-30406 เคยถูกแก้ไขแล้ว แต่ถูกนำกลับมาใช้ผ่านช่องโหว่ใหม่
ยังไม่มี patch อย่างเป็นทางการจาก Gladinet
Huntress แนะนำให้ลบ handler t.dn ใน Web.config เพื่อปิดช่องทางการโจมตี
ข้อมูลเสริมจากภายนอก
ViewState เป็นกลไกของ ASP.NET ที่ใช้เก็บสถานะของหน้าเว็บ
Deserialization คือการแปลงข้อมูลกลับเป็น object ซึ่งหากไม่ปลอดภัยอาจถูกใช้โจมตี
LFI เป็นช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในระบบโดยไม่ต้องมีสิทธิ์
Machine key ใช้ในการเข้ารหัสข้อมูลสำคัญ เช่น session และ ViewState
การโจมตีแบบนี้สามารถใช้เพื่อฝังมัลแวร์หรือเปิด backdoor บนเซิร์ฟเวอร์
https://securityonline.info/exploited-zero-day-gladinet-triofox-flaw-cve-2025-11371-allows-rce-via-lfi/
🕵️ “พบช่องโหว่ Zero-Day ร้ายแรงใน Gladinet/Triofox — แฮกเกอร์ใช้ LFI ดึง machine key แล้วรันโค้ดบนเซิร์ฟเวอร์ทันที”
บริษัท Huntress ได้ออกคำเตือนถึงช่องโหว่ Zero-Day ใหม่ในซอฟต์แวร์ Gladinet CentreStack และ Triofox ซึ่งเป็นแพลตฟอร์มแชร์ไฟล์และจัดการข้อมูลสำหรับองค์กร โดยช่องโหว่นี้ถูกระบุว่าเป็น CVE-2025-11371 และมีระดับความรุนแรง CVSS 6.1 ซึ่งแม้จะไม่สูงสุด แต่มีการโจมตีจริงแล้วในหลายองค์กร
ช่องโหว่นี้เป็นแบบ Local File Inclusion (LFI) ที่เปิดให้ผู้โจมตีสามารถเข้าถึงไฟล์สำคัญในระบบได้โดยไม่ต้องยืนยันตัวตน โดยเฉพาะไฟล์ Web.config ที่เก็บ machine key ซึ่งเป็นกุญแจสำคัญในการเข้ารหัสข้อมูลในระบบ ASP.NET
เมื่อแฮกเกอร์ได้ machine key แล้ว จะสามารถใช้ช่องโหว่เก่า CVE-2025-30406 ที่เกี่ยวข้องกับ ViewState deserialization เพื่อสร้าง payload ที่ผ่านการเข้ารหัสอย่างถูกต้อง แล้วรันคำสั่งบนเซิร์ฟเวอร์ได้ทันที โดยไม่ต้อง login หรือมีสิทธิ์ใด ๆ
Huntress ตรวจพบการโจมตีครั้งแรกเมื่อวันที่ 26 กันยายน 2025 ผ่านระบบตรวจจับภายใน โดยพบ payload แบบ base64 ถูกเรียกใช้เป็น child process ของ web server ซึ่งเป็นสัญญาณของการโจมตีหลังการ deserialization
แม้ช่องโหว่ CVE-2025-30406 จะถูกแก้ไขไปแล้วในเวอร์ชันใหม่ของ CentreStack แต่ช่องโหว่ CVE-2025-11371 กลับเปิดทางให้แฮกเกอร์ใช้ช่องโหว่เก่าได้อีกครั้งผ่านการดึง machine key ทำให้การโจมตีมีประสิทธิภาพสูงและยากต่อการตรวจจับ
ขณะนี้ยังไม่มี patch อย่างเป็นทางการจาก Gladinet แต่ Huntress ได้เสนอวิธีแก้ไขชั่วคราว โดยให้ผู้ดูแลระบบเข้าไปลบ handler ที่ชื่อ t.dn ในไฟล์ Web.config ของ UploadDownloadProxy เพื่อปิดช่องทางการเข้าถึงที่ใช้ในการโจมตี
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-11371 เป็นแบบ Local File Inclusion (LFI) ใน Gladinet CentreStack และ Triofox
➡️ ผู้โจมตีสามารถดึงไฟล์ Web.config เพื่อขโมย machine key โดยไม่ต้อง login
➡️ ใช้ machine key เพื่อรันโค้ดผ่านช่องโหว่ ViewState deserialization (CVE-2025-30406)
➡️ Huntress ตรวจพบการโจมตีจริงใน 3 องค์กรแล้ว
➡️ การโจมตีเริ่มจาก payload base64 ที่รันเป็น child process ของ web server
➡️ ช่องโหว่ CVE-2025-30406 เคยถูกแก้ไขแล้ว แต่ถูกนำกลับมาใช้ผ่านช่องโหว่ใหม่
➡️ ยังไม่มี patch อย่างเป็นทางการจาก Gladinet
➡️ Huntress แนะนำให้ลบ handler t.dn ใน Web.config เพื่อปิดช่องทางการโจมตี
✅ ข้อมูลเสริมจากภายนอก
➡️ ViewState เป็นกลไกของ ASP.NET ที่ใช้เก็บสถานะของหน้าเว็บ
➡️ Deserialization คือการแปลงข้อมูลกลับเป็น object ซึ่งหากไม่ปลอดภัยอาจถูกใช้โจมตี
➡️ LFI เป็นช่องโหว่ที่เปิดให้ผู้โจมตีอ่านไฟล์ในระบบโดยไม่ต้องมีสิทธิ์
➡️ Machine key ใช้ในการเข้ารหัสข้อมูลสำคัญ เช่น session และ ViewState
➡️ การโจมตีแบบนี้สามารถใช้เพื่อฝังมัลแวร์หรือเปิด backdoor บนเซิร์ฟเวอร์
https://securityonline.info/exploited-zero-day-gladinet-triofox-flaw-cve-2025-11371-allows-rce-via-lfi/
0 Comments
0 Shares
28 Views
0 Reviews
Thai