AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Cibercriminales explotan vulnerabilidad zero-day en Gladinet CentreStack y Triofox para acceder a archivos del sistema sin autenticación**

admin

### 1. Introducción

Durante las últimas semanas, los equipos de seguridad han detectado una campaña activa que explota una vulnerabilidad zero-day crítica, identificada como CVE-2025-11371, que afecta a las plataformas Gladinet CentreStack y Triofox. Este fallo permite a un atacante local acceder a archivos sensibles del sistema sin necesidad de autenticación previa, comprometiendo la integridad y privacidad de los datos alojados en entornos empresariales. El incidente ha puesto en alerta a los profesionales de ciberseguridad, ya que ambos productos son ampliamente utilizados para facilitar el acceso remoto y la sincronización de archivos en organizaciones sujetas a regulaciones estrictas como GDPR y NIS2.

### 2. Contexto del Incidente o Vulnerabilidad

Gladinet CentreStack y Triofox son soluciones de gestión y compartición de archivos empresariales, adoptadas por miles de organizaciones para habilitar el acceso remoto seguro y la colaboración en la nube. Según estadísticas recientes, más del 15% de las medianas y grandes empresas europeas utilizan alguna de estas plataformas en sus flujos de trabajo digitales. El incidente salió a la luz el pasado 5 de junio, cuando varios analistas SOC reportaron accesos anómalos a ficheros críticos en servidores que ejecutaban versiones sin parches de CentreStack y Triofox.

El exploit fue rápidamente incorporado a herramientas de post-explotación como Metasploit y Cobalt Strike, facilitando la automatización de ataques por parte de actores maliciosos. A día de hoy, no existe parche oficial disponible por parte del fabricante, lo que agrava el riesgo operativo en entornos productivos.

### 3. Detalles Técnicos

La vulnerabilidad CVE-2025-11371 reside en el mecanismo de autenticación de las APIs de Gladinet CentreStack (versiones 14.0.912.600 y anteriores) y Triofox (versiones 14.0.912.600 y anteriores). Se trata de un fallo de control de acceso insuficiente (Improper Access Control), que habilita a un atacante local a manipular rutas y realizar peticiones directas a endpoints internos, eludiendo cualquier mecanismo de autenticación.

#### Vectores de ataque y TTPs

El vector principal identificado consiste en explotar rutas relativas y manipular los parámetros de las peticiones HTTP dirigidas al backend, accediendo así a archivos de configuración, credenciales y registros de actividad. Según el framework MITRE ATT&CK, la técnica se alinea con **T1078 (Valid Accounts)** y **T1006 (Path Traversal)**. Los indicadores de compromiso (IoC) más relevantes incluyen:

– Solicitudes HTTP anómalas con rutas del tipo `/api/files/../../etc/passwd`
– Acceso a logs administrativos fuera de horarios habituales
– Actividad de usuario desde cuentas no registradas en el directorio activo

#### Exploits conocidos

En plataformas como ExploitDB y GitHub ya circulan PoCs (Proof of Concept) que demuestran la viabilidad del ataque. Los exploits permiten listar, extraer y modificar archivos críticos sin necesidad de credenciales. El exploit ha sido empaquetado en módulos de Metasploit y se está empleando como vector inicial para movimientos laterales y escaladas de privilegios.

### 4. Impacto y Riesgos

El impacto potencial de la explotación de CVE-2025-11371 es elevado, especialmente en contextos donde CentreStack o Triofox gestionan información confidencial o datos personales sujetos a la GDPR. Entre los riesgos más destacados se encuentran:

– Acceso no autorizado a información sensible (PII, secretos de configuración, claves API)
– Compromiso de integridad de los archivos empresariales
– Escalada de privilegios a nivel de sistema operativo
– Posibles sanciones regulatorias por incumplimiento de la GDPR y NIS2
– Interrupciones en la operativa y pérdidas económicas (el coste medio de un incidente de este tipo en Europa supera los 350.000 €)

### 5. Medidas de Mitigación y Recomendaciones

Dada la ausencia de un parche oficial, es imprescindible que los equipos de seguridad implementen medidas compensatorias inmediatas:

– Restringir el acceso local y remoto a los servidores afectados mediante ACLs y segmentación de red.
– Revisar y monitorizar exhaustivamente los logs de acceso y eventos sospechosos.
– Implementar soluciones de detección de intrusos (IDS) con reglas específicas para identificar patrones de explotación.
– Deshabilitar temporalmente las APIs vulnerables o limitar su exposición a redes internas confiables.
– Realizar auditorías de integridad de archivos y verificar la integridad de los binarios.
– Preparar un plan de respuesta a incidentes específico para este vector hasta la publicación del parche.

### 6. Opinión de Expertos

Especialistas consultados como David Barroso (CounterCraft) y Yago Jesús (Security By Default) coinciden en que la exposición de plataformas de compartición de archivos a vulnerabilidades de control de acceso representa un vector crítico en el actual panorama de amenazas. “La explotación masiva de este tipo de zero-days está en auge, especialmente por parte de grupos de ransomware y APTs con motivaciones económicas o de espionaje”, señala Barroso. Recomiendan, además, realizar pruebas de penetración recurrentes y mantener políticas de mínimo privilegio en todos los sistemas expuestos.

### 7. Implicaciones para Empresas y Usuarios

Las empresas que utilizan Gladinet CentreStack o Triofox deben considerar la vulnerabilidad como una amenaza prioritaria en sus planes de gestión de riesgos. Más allá de la posible pérdida de datos, la explotación podría generar incidentes de fuga de información que deriven en multas significativas bajo la GDPR y nuevas obligaciones de notificación conforme a la Directiva NIS2. Los administradores deben informar a los usuarios sobre los riesgos y extremar las precauciones en el acceso a recursos compartidos.

### 8. Conclusiones

La explotación activa de CVE-2025-11371 demuestra una vez más la importancia de la gestión proactiva de vulnerabilidades y la defensa en profundidad en entornos empresariales. Mientras se espera una solución oficial por parte de Gladinet, las organizaciones deben priorizar la adopción de controles compensatorios y mantener una vigilancia constante frente a posibles compromisos. El incidente refuerza la necesidad de colaboración entre fabricantes, CERTs y la comunidad de ciberseguridad para minimizar la ventana de exposición ante zero-days críticos.

(Fuente: www.bleepingcomputer.com)