يؤدي خلل مشاركة الملفات إلى حدوث هجمات إلكترونية خطيرة – ولا يوجد تصحيح
- لدى Gladinet CentreStack/Triofox ثغرة أمنية يوم الصفر
- يتيح الخلل (CVE-2025-11371) تنفيذ التعليمات البرمجية عن بعد
- يجب على المستخدمين تطبيق التخفيف نظرًا لعدم توفر تصحيح
يقول الباحثون إن Gladinet CentreStack وTriofox، حلول المشاركة الآمنة للملفات والوصول عن بُعد التي طورتها شركة Gladinet، تحملان ثغرة يوم صفر يتم إساءة استخدامها لتنفيذ تعليمات برمجية ضارة (RCE) عن بُعد. نظرًا لأنه يتم استغلال أيام الصفر بشكل نشط، ولا يوجد تصحيح متاح حتى الآن، فإننا نحث المستخدمين على تطبيق التخفيف المتاح في أقرب وقت ممكن.
CentreStack هو حل لمشاركة الملفات بين الشركات، يتيح للموظفين الوصول إلى ملفات الشركة عن بعد من خلال محركات الأقراص المعينة، أو تطبيقات الهاتف المحمول، أو المتصفحات، دون ترحيل كل شيء إلى الخدمات السحابية العامة مثل Dropbox أو Google Drive. Triofox، من ناحية أخرى، عبارة عن منصة تمكين سحابية لخوادم الملفات التي توفر وصولاً عن بعد بدون VPN مع تكامل Active Directory والتحكم في الإصدار والمشاركة الآمنة للملفات.
في الآونة الأخيرة، تم إخطار الباحثين الأمنيين من Huntress بالاستغلال الناجح لثغرة أمنية غير موثقة سابقًا. بعد التواصل مع Gladinet، علمت Huntress أن الشركة كانت على علم بالفعل بالخلل، وكانت على اتصال مع اثنين من الضحايا في محاولة لتقليل الضرر.
ثلاثة ضحايا حتى الآن
تم وصف الخلل على أنه “ثغرة أمنية في تضمين ملف محلي غير مصادق عليه تسمح لممثلي التهديد باسترداد مفاتيح الجهاز من ملف Web.config الخاص بالتطبيق.” يتم تتبعه الآن باسم CVE-2025-11371، وله درجة خطورة تبلغ 6.2/10 (متوسطة).
لا تدع التصنيف المنخفض نسبيًا يخدعك، فهذا عيب خطير يمكّن RCE. وفقًا لـ Huntress، وقعت ثلاث شركات حتى الآن ضحية لمهاجمين لم يتم الكشف عن هويتهم، ونظرًا لعدم وجود تصحيح حتى الآن، فقد يرتفع هذا العدد بشكل كبير.
يُزعم أن Gladinet قد أبلغت عملائها بالفعل بالخلل وتشارك بنشاط في مساعدتهم على تقليل المخاطر، لذلك يجب أن تكون الشركات التي تقرأ مراسلات الموردين الخاصة بهم على ما يرام. إذا لم تكن قد قرأت رسائل البريد الإلكتروني الخاصة بك بعد، فيمكنك أيضًا مراجعة مدونة Huntress للحصول على تفاصيل حول كيفية البقاء آمنًا. لا نعرف عدد الشركات التي يمكن أن تكون معرضة للخطر، ولكن وفقًا لموقع Gladinet الإلكتروني، فإن العدد لا يقل عن 1000 شركة.
عبر السجل
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.