Aanvallers maken actief misbruik van lek in file sharing software CentreStack

In dit artikel:

Aanvallers misbruiken actief een kwetsbaarheid in file sharing-software CentreStack (Gladinet) waarmee remote code execution mogelijk is. Securitybedrijf Huntress ontdekte eind september misbruik in een volledig geüpdatete omgeving en identificeerde daarna een nieuwe kwetsbaarheid, geregistreerd als CVE-2025-11371. CentreStack wordt volgens de maker door duizenden organisaties in 49 landen gebruikt.

De bug betreft een Local File Inclusion (LFI) waardoor aanvallers de zogeheten machineKey kunnen bemachtigen. Met die sleutel kan een ViewState-deserialisatieaanval worden uitgevoerd, wat uiteindelijk leidt tot het uitvoeren van code op de webserver. Eerder dit jaar waarschuwden CISA en CentreStack al voor een ander probleem (CVE-2025-30406) rond een hardcoded machineKey.

CentreStack werkt aan een officiële patch; klanten hebben intussen een tijdelijke mitigatie ontvangen die echter invloed heeft op de functionaliteit van de software. Huntress publiceert geen technische details zolang er geen beveiligingsupdate beschikbaar is. Organisaties met CentreStack worden geadviseerd mitigaties toe te passen, toegang tot servers te beperken en hun systemen scherp te monitoren totdat een patch verschijnt.