文章总结： 勒索团伙Clop针对CentreStack服务器发起大规模攻击，利用CVE-2025-11371漏洞实现远程代码执行，影响全球200+目标。建议用户立即删除Web.config中的特定代码以缓解风险，并检查数据泄露情况。 综合评分： 82 文章分类： 漏洞分析,威胁情报,应急响应,数据泄露,安全大事件

Clop勒索团伙大规模攻击CentreStack服务器，全球200+目标暴露

看雪学苑

看雪学苑

2025年12月22日 18:00 上海

近日，知名勒索软件团伙Clop（又称Cl0p）发起全新大规模勒索活动，目标直指Gladinet CentreStack文件服务器，旨在窃取全球各类组织的敏感数据。威胁情报公司Curated Intelligence专家通报，此次攻击针对暴露在互联网上的CentreStack文件服务器，通过未知漏洞（可能是n日或零日漏洞）实施，目前已有至少200个带有“CentreStack – Login”HTTP标题的IP地址面临风险。

据了解，Gladinet CentreStack是一款可将组织现有文件服务器、网络附加存储（NAS）设备或云存储转化为安全企业级私有云存储的软件平台，核心作用是搭建传统本地文件存储与类云访问功能之间的桥梁。该平台与同类型的Triofox均被企业用于安全管理公司文件，同时支持远程办公与协作场景，这也使其成为勒索团伙的重点攻击目标。

值得注意的是，Huntress研究人员10月曾披露，威胁 actors正利用Gladinet CentreStack和Triofox中的本地文件包含（LFI）漏洞CVE-2025-11371（零日漏洞）实施攻击，本地用户可无需认证便能利用该漏洞访问系统文件。后续分析进一步发现，攻击者可通过此未授权漏洞获取应用程序Web.config文件中的机器密钥，再借助ViewState反序列化漏洞执行远程代码。此前CentreStack和Triofox的早期版本中，CVE-2025-30406漏洞的硬编码机器密钥也存在类似风险。目前相关漏洞尚未修复，但已有缓解措施，Gladinet与Huntress已向客户推送CVE-2025-11371漏洞的临时解决方案，建议通过删除UploadDownloadProxy的Web.config中的临时处理器相关代码阻断攻击，不过这会对部分平台功能产生影响。截至目前，至少已有3家客户遭到针对性攻击。

Clop团伙近期活动极为猖獗，12月初，英国巴茨健康国民保健服务（Barts Health NHS）确认，该团伙利用Oracle电子商务套件（EBS）中的零日漏洞CVE-2025-61882窃取数据，并将其列入暗网数据泄露站点公示被盗信息。事实上，该团伙自8月初便开始利用这一高危零日漏洞，全球众多知名机构均遭波及，包括 envoy航空、哈佛大学、《华盛顿邮报》、罗技、宾夕法尼亚大学以及菲尼克斯大学等。

历史上，Clop曾发起多起重大勒索活动，包括2023年利用CVE-2023-0669漏洞攻击GoAnywhere MFT，攻陷130余家组织；同年通过SQL注入零日漏洞CVE-2023-34362攻击MOVEit Transfer，成为史上规模最大的勒索活动之一，波及全球数百家企业；2020至2021年间，利用文件传输设备Accellion FTA的零日漏洞窃取约100家组织的数据。壳牌、英国航空、庞巴迪、科罗拉多大学、普华永道、英国广播公司（BBC）等均曾是其受害者。

资讯来源：securityaffairs

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《Clop勒索团伙大规模攻击CentreStack服务器，全球200+目标暴露》