Gladinet RCE 제로데이 적극 악용 패치 전까지 노출 차단 필수

요약

Gladinet 제품군의 CVE-2025-11371이 적극 악용 중입니다. LFI로 Web.config의 machineKey를 탈취해 ViewState 역직렬화 RCE로 이어지는 체인입니다. 제조사 패치 전까지는 외부 노출 차단·WAF 룰이 필수입니다.

핵심 정리

1) 취약 경로: LFI → machineKey 획득 → ViewState RCE 체인
2) 상태: 패치 미공개, PoC·실공격 관측. 세부 기술은 피해 확산 우려로 일부 비공개
3) 과거 연계: CVE-2025-30406(하드코드 키) 계열 이슈와 결합 시 위험 급상승

즉시 조치 체크리스트

1) 외부 접근 차단: 관리·업로드 엔드포인트 GeoIP·IP 화이트리스트 적용
2) WAF·리버스 프록시: LFI 패턴, 악성 ViewState 서명 차단 룰 적용
3) machineKey 교체: 유출 정황 시 즉시 교체·앱풀 재기동·세션 무효화
4) 로그: 예상치 못한 __VIEWSTATE 파라미터, 대용량 500/400 응답 급증, 의심 파일 열람 추적
5) 망분리: 파일 게이트웨이·DMZ 경계 재점검, 백엔드 크리덴셜 회전

운영 메모

1) KEV 등록 대상 (별도 항목)도 병행 주시—Grafana CVE-2021-43798가 오늘 KEV 추가
2) 로그 보존 30~90일 확대, EDR의 w3wp.exe 스폰 프로세스 이상 탐지 활성화

한줄평

패치가 없을 때 정답은 노출 차단+키 교체입니다. 빠르게 막고 길게 보세요.

출처

The Hacker News: Gladinet CVE-2025-11371 실공격 분석(오늘)
SecurityAffairs: CISA KEV에 Grafana CVE-2021-43798 추가(오늘)