近期,勒索软件团伙Clop(又称Cl0p)再次活跃,发起新一轮大规模攻击,此次目标锁定为Gladinet CentreStack文件服务器,旨在窃取全球各类组织的敏感数据。根据威胁情报公司Curated Intelligence的通报,攻击者针对暴露在公网的CentreStack服务器,疑似利用未知漏洞(可能为n日或零日漏洞)发起攻势。目前,已有至少200个带有“CentreStack – Login”特征HTTP标头的IP地址被确认面临风险。
Gladinet CentreStack是一款可将组织现有文件服务器、NAS设备或云存储转化为安全企业级私有云存储的软件平台。其核心价值在于搭建传统本地文件存储与现代化云访问功能之间的纽带。该平台及其同源产品Triofox常被企业用于集中、安全管理公司文件,并支持远程办公与协作,正因如此,它们也成为了勒索软件团伙的重点攻击目标。
值得注意的是,安全研究人员曾在去年10月披露,有攻击者正在利用Gladinet CentreStack和Triofox中的本地文件包含(LFI)漏洞 CVE-2025-11371(一个零日漏洞)进行攻击。该漏洞允许本地用户在无需认证的情况下访问系统文件。后续深入分析发现,攻击链可进一步延伸:攻击者能通过此未授权访问漏洞获取应用程序Web.config文件中的机器密钥,进而结合ViewState反序列化漏洞实现远程代码执行。这暴露出在缺乏有效渗透测试与及时补丁管理情况下的严重网络安全风险。
此外,在CentreStack和Triofox的早期版本中,另一个编号为CVE-2025-30406的漏洞也因硬编码的机器密钥而存在类似安全隐患。尽管相关漏洞的官方补丁尚未发布,但已有临时的缓解措施。Gladinet与安全公司Huntress已向客户推送了针对CVE-2025-11371的临时解决方案,建议通过删除UploadDownloadProxy的Web.config中与临时处理器相关的代码来阻断攻击路径,但这可能会对平台的某些功能造成影响。截至目前,已有至少3家客户确认遭到针对性攻击。
Clop团伙近期活动频繁。就在去年12月初,英国巴茨健康国民保健服务(Barts Health NHS)确认,该团伙利用Oracle电子商务套件(EBS)中的另一个零日漏洞CVE-2025-61882窃取了其数据,并将被盗信息公示在其暗网数据泄露站点上。实际上,该团伙自8月初就已开始利用此高危漏洞,全球范围内众多知名机构均受到影响,包括Envoy航空、哈佛大学、《华盛顿邮报》、罗技、宾夕法尼亚大学以及菲尼克斯大学等。
回顾历史,Clop团伙曾发起过多起震惊全球的勒索攻击:
- 2023年:利用CVE-2023-0669漏洞攻击GoAnywhere MFT,导致超过130家组织被攻陷。
- 2023年:通过MOVEit Transfer的SQL注入零日漏洞CVE-2023-34362发起攻击,成为史上规模最大的勒索活动之一,波及全球数百家企业。
- 2020至2021年:利用Accellion FTA文件传输设备的零日漏洞,从约100家组织窃取数据。
壳牌、英国航空、庞巴迪、科罗拉多大学、普华永道、英国广播公司(BBC)等均曾是其主要受害者。
此次针对CentreStack的攻击,再次凸显了保护文件共享与传输基础设施安全的极端重要性。 | 
发表于 6 小时前
|
查看: 1|
回复: 0
