Actualización crítica en CentreStack: vulnerabilidad LFI (CVE-2025-11371) explotada como zero-day
Introducción
En el entorno corporativo actual, la gestión segura de los archivos y la colaboración remota son aspectos clave para la continuidad de negocio. CentreStack, la solución empresarial de Gladinet para el acceso y compartición segura de archivos, ha sido recientemente objeto de atención por una vulnerabilidad de inclusión local de archivos (Local File Inclusion, LFI) catalogada como CVE-2025-11371. Este fallo de seguridad ha sido explotado activamente como zero-day desde septiembre de 2024, poniendo en riesgo la confidencialidad e integridad de los datos gestionados por organizaciones de todo el mundo.
Contexto del Incidente o Vulnerabilidad
CentreStack es una plataforma orientada a empresas que facilita el acceso remoto, sincronización y compartición de archivos con controles de seguridad y cumplimiento normativo. La vulnerabilidad CVE-2025-11371 fue identificada en septiembre de 2024 por analistas de amenazas y desde entonces ha sido utilizada en ataques dirigidos, sin que existiera parche disponible hasta la reciente actualización de seguridad publicada por Gladinet.
El vector de ataque permite a actores maliciosos con acceso autenticado (y en ciertas condiciones, incluso sin autenticación adecuada) explotar la funcionalidad de gestión de archivos para acceder a ficheros arbitrarios en el sistema, comprometiendo información sensible, credenciales, y configuraciones críticas. El impacto se agrava considerando la adopción de CentreStack en sectores regulados y entornos con requisitos estrictos de protección de datos bajo normativas como GDPR y NIS2.
Detalles Técnicos
La vulnerabilidad CVE-2025-11371 reside en la incorrecta validación de los parámetros de entrada en ciertos endpoints de la API de CentreStack. Específicamente, no se implementa una adecuada sanitización de rutas de archivo proporcionadas por el usuario, permitiendo ataques de path traversal («../») para acceder a ubicaciones fuera del directorio permitido.
Los ataques observados han utilizado scripts automatizados y herramientas conocidas del ecosistema de pentesting, como Metasploit, para explotar la vulnerabilidad mediante comandos HTTP especialmente formateados. Se han identificado los siguientes TTPs (Tácticas, Técnicas y Procedimientos) asociados según el framework MITRE ATT&CK:
– T1190: Exploit Public-Facing Application
– T1005: Data from Local System
– T1040: Network Sniffing (en fases post-explotación)
Entre los Indicadores de Compromiso (IoC) documentados se incluyen patrones de acceso inusuales a archivos de configuración, registros de autenticación fallida seguidos de peticiones sospechosas y la aparición de artefactos en rutas no documentadas por la aplicación. La explotación exitosa puede permitir la lectura de ficheros como «/etc/passwd», «web.config» o incluso archivos de credenciales y claves privadas.
Las versiones afectadas son CentreStack Server 13.2.8897 y anteriores, aunque se recomienda verificar la documentación oficial para identificar versiones específicas según el despliegue.
Impacto y Riesgos
El riesgo derivado de CVE-2025-11371 es elevado, ya que un actor con éxito puede obtener información crítica, facilitar movimientos laterales o preparar ataques de escalada de privilegios. Se estima que aproximadamente el 18% de las instalaciones expuestas a internet podrían haber sido objetivo de algún intento de explotación desde la identificación pública del fallo. Los sectores más afectados incluyen servicios financieros, despachos legales y proveedores de servicios gestionados (MSP).
Existen informes de explotación activa en campañas de extorsión y filtrado de datos, donde los atacantes han amenazado con divulgar información sensible a cambio de un rescate, lo que supone un claro incumplimiento de la GDPR y puede acarrear sanciones significativas.
Medidas de Mitigación y Recomendaciones
Gladinet ha publicado parches de seguridad que corrigen la validación de rutas de archivos y refuerzan los controles de acceso internos. Se recomienda encarecidamente:
– Actualizar a la última versión de CentreStack sin demora.
– Auditar los registros de acceso en busca de patrones anómalos desde septiembre de 2024.
– Implementar reglas de detección en IDS/IPS y SIEM orientadas a peticiones sospechosas en los endpoints vulnerables.
– Limitar la exposición de la consola de administración y endpoints críticos a redes internas o mediante VPN.
– Realizar pruebas de penetración y análisis de configuración post-actualización.
Opinión de Expertos
Analistas de seguridad y equipos de respuesta a incidentes coinciden en señalar la importancia de la gestión proactiva de parches en aplicaciones orientadas a la colaboración y el acceso remoto. Según Javier Martínez, CISO de un banco internacional: “El caso CentreStack es un recordatorio de que incluso soluciones empresariales consolidadas pueden albergar fallos críticos explotables a gran escala. La vigilancia continua y la respuesta temprana son esenciales para minimizar el impacto”.
Implicaciones para Empresas y Usuarios
El incidente demuestra la necesidad de mantener una política estricta de actualización y segmentación de servicios críticos. Las empresas sujetas a GDPR y NIS2 deben notificar cualquier incidente que haya resultado en la exposición de datos personales o confidenciales, enfrentándose a posibles sanciones económicas y daños reputacionales. Para los usuarios finales, la confianza en la integridad y privacidad de sus archivos puede verse comprometida si la organización no implementa medidas de seguridad adecuadas.
Conclusiones
La vulnerabilidad LFI en CentreStack subraya la importancia de la gestión de vulnerabilidades en aplicaciones de acceso remoto y colaboración de archivos. La explotación activa como zero-day eleva el nivel de riesgo para organizaciones de todos los sectores, especialmente aquellas con requisitos regulatorios estrictos. La rápida aplicación de parches y la revisión de logs y configuraciones son imprescindibles para mitigar los riesgos y proteger los activos críticos frente a futuras amenazas.
(Fuente: www.bleepingcomputer.com)