事件概述:威脅情資平臺 Curated Intelligence 觀察到疑似與勒索集團 Clop(又稱 Cl0p)相關的新一波資料外洩勒索行動,攻擊目標為對外暴露的 Gladinet CentreStack 檔案伺服器;根據近期連接埠掃描,至少有 200 台以上以「CentreStack – Login」為 HTTP 標題的公開主機被視為潛在攻擊目標。
()
攻擊情況:目前尚無法確認攻擊者所利用之漏洞為零時差(zero-day)或既有未修補漏洞(n-day),但外媒報導與情資指出,部分遭入侵的伺服器上已留下勒索訊息。
()
已揭露的弱點:資安業者 Huntress 發現 CentreStack 與 Triofox 存在寫死的 AES 加密相關值,可能導致未經驗證的特製請求造成任意本機檔案讀取(包括取得關鍵設定檔 web.config)。該問題已被指派為 CVE-2025-14611,NVD 與多家資安單位記載受影響版本為 16.12.10420.56791 之前版本。
()
觀測跡象:研究人員同時觀察到伺服器端出現 IIS 相關程序異常,觸發命令列與 PowerShell 等行為,並與 ASP.NET ViewState 反序列化漏洞(CVE-2025-30406)攻擊跡象相符;多個情資組織報告顯示 Clop 可能正在鎖定對外的 CentreStack 伺服器,但仍處於早期階段,無法完全確認歸因。
()
防護建議:建議組織立即盤點是否有 CentreStack 或 Triofox 伺服器直接對外,儘速升級至 16.12.10420.56791 或更新版本,並輪換 web.config 中的 machineKey;同時加強日誌監控與異常行為偵測,關注後續廠商與情資公告。
()