威脅情資平臺Curated Intelligence提醒,事件應變人員近期在多起案件中觀察到疑似與Clop相關的新一波資料外洩勒索行動,攻擊目標鎖定網際網路對外的Gladinet CentreStack檔案伺服器。該社群依據近期連接埠掃描結果估算,至少有200個以上具公開IP的主機,其網頁標題顯示為「CentreStack - Login」,因此被視為潛在暴露面。
目前仍無法確認攻擊者利用的漏洞編號與入侵入口,尚不清楚是零時差漏洞,或是既有弱點因延遲修補而被趁虛而入。根據外媒BleepingComputer引述Curated Intelligence的說法,攻擊者已在遭入侵的伺服器上留下勒索訊息。
同一期間,資安業者Huntress公布研究指出,CentreStack與Triofox因採用寫死的AES加密相關值,可能在未經驗證的情況下被特製請求利用,造成任意本機檔案讀取,包含取得關鍵設定檔web.config,並替後續的ViewState反序列化與遠端程式碼執行創造條件。該漏洞已被指派為CVE-2025-14611,NVD指出受影響範圍為16.12.10420.56791之前版本。
Huntress更新補充,已看到其他情資組織回報Clop正在鎖定對外CentreStack伺服器,但仍處於早期階段,尚無法完全確認相關行為可明確歸因於Clop。研究人員同時提到,另觀察到兩起疑似CentreStack遭濫用事件,遙測顯示伺服器端出現IIS相關程序異常觸發命令列與PowerShell等行為,並與ASP.NET的ViewState反序列化漏洞CVE-2025-30406攻擊跡象相符。
研究人員建議,用戶應立即盤點是否有CentreStack或Triofox伺服器直接對外,並加速升級至16.12.10420.56791或更新版本,輪換web.config中的machineKey,以降低設定檔外洩後被重複利用的風險。由於目前攻擊行動仍在發展中,組織應持續關注後續公告與情資更新,並以日誌監控與異常行為偵測做為防護。
熱門新聞
2025-12-22
2025-12-23
2025-12-19
2025-12-22
2025-12-23
2025-12-19