CVE-2025-14611

Суть уязвимости

В продуктах Gladinet CentreStack и Triofox обнаружена критическая уязвимость (CVE-2025-14611), связанная с использованием жестко закодированных (hardcoded) криптографических ключей для алгоритма шифрования AES.

• Механика атаки: Поскольку ключ шифрования одинаков для всех инсталляций и известен злоумышленникам, они могут самостоятельно шифровать вредоносные полезные нагрузки так, как если бы это делало само легитимное приложение.
• Вектор эксплуатации: Злоумышленник отправляет специально сформированный запрос на публично доступный эндпоинт приложения.
• Последствия: Уязвимость позволяет выполнить атаку Local File Inclusion (LFI) без предварительной аутентификации. Это означает, что атакующий может читать произвольные локальные файлы на сервере (например, конфигурационные файлы с паролями, сертификаты, системные файлы), что может привести к полной компрометации инфраструктуры.

Как исправить

Поскольку проблема заключается в архитектурном недостатке (жестко закодированные ключи в исходном коде), единственным полноценным способом устранения является установка официального исправления от вендора.

1. Сделайте полный бэкап сервера (снапшот виртуальной машины) и резервную копию базы данных CentreStack/Triofox перед проведением работ.
2. Перейдите на официальный портал поддержки Gladinet/Triofox и загрузите последнюю версию продукта, в которой устранена данная уязвимость (патч или мажорное обновление).
3. Запустите установщик от имени Администратора и выполните процесс обновления поверх текущей инсталляции (In-place upgrade).
4. После завершения установки перезагрузите сервер.
5. Убедитесь, что все службы CentreStack/Triofox (включая пулы приложений IIS) запущены и работают корректно.
6. Проверьте версию продукта в панели администратора, чтобы подтвердить успешную установку патча.

Временные меры

Если немедленная установка обновления невозможна, необходимо внедрить компенсирующие меры для снижения риска эксплуатации:

1. Ограничение сетевого доступа: Скройте публичные эндпоинты CentreStack/Triofox из глобальной сети. Разрешите доступ к порталу только через корпоративный VPN или с доверенных IP-адресов. Для установки компонента фильтрации IP в IIS используйте команду: ```powershell Install-WindowsFeature Web-IP-Security

2.  **Настройка Web Application Firewall (WAF):**
    Внедрите строгие правила WAF для блокировки попыток эксплуатации LFI. Настройте фильтрацию входящих HTTP-запросов на наличие паттернов обхода каталогов (Directory Traversal).
    Блокируйте запросы, содержащие следующие последовательности в URL или теле запроса:
    *   `../`
    *   `..\`
    *   `%2e%2e%2f`
    *   `%2e%2e%5c`

3.  **Мониторинг и аудит логов:**
    Настройте SIEM-систему на выявление аномальных запросов к веб-серверу. Регулярно проверяйте логи IIS на предмет попыток чтения системных файлов.
    Для быстрого поиска базовых паттернов LFI в логах IIS можно использовать следующую команду:
    ```powershell
    Select-String -Path "C:\inetpub\logs\LogFiles\W3SVC*\*.log" -Pattern "\.\./|\.\.\\|%2e%2e"

1. Принцип наименьших привилегий: Убедитесь, что учетная запись службы (Application Pool Identity), под которой работает CentreStack/Triofox в IIS, имеет доступ только к тем директориям, которые строго необходимы для работы приложения. Запретите чтение системных директорий (например, C:\Windows\System32) для этой учетной записи.