Οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια στο ασφαλές λογισμικό ανταλλαγής αρχείων Gladinet Centrestack ως μηδενική ημέρα από τον Μάρτιο για να παραβιάσουν τους διακομιστές αποθήκευσης
Το Gladinet Centrestack είναι μια πλατφόρμα ανταλλαγής αρχείων και πρόσβασης στην επιχείρηση, η οποία ενεργοποιεί τους διακομιστές αρχείων στο πλαίσιο (όπως οι διακομιστές των Windows με μετοχές SMB) σε ασφαλή συστήματα αρχείων που υποστηρίζουν την απομακρυσμένη πρόσβαση σε μετοχές εσωτερικών αρχείων, συγχρονισμό και κοινή χρήση αρχείων, πολυεπίπεδη ανάπτυξη και ενσωμάτωση με ενεργούς καταλόγους.
Η εταιρεία ισχυρισμοί Το προϊόν χρησιμοποιείται από χιλιάδες επιχειρήσεις σε 49 χώρες, συμπεριλαμβανομένων των επιχειρήσεων με διακομιστές αρχείων με βάση τα Windows, MSP που φιλοξενούν υπηρεσίες αρχείων για πολλούς πελάτες και διάφορους οργανισμούς που χρειάζονται πρόσβαση σε σύννεφο χωρίς μετανάστευση σύννεφων.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-30406, είναι μια ευπάθεια αποταμιευρισμού που επηρεάζει τις εκδόσεις Gladinet Centrestack μέχρι 16.1.10296.56315. Η εκμετάλλευση στην άγρια φύση έχει παρατηρηθεί Από τον Μάρτιο του 2025.
Το ζήτημα προέρχεται από τη χρήση ενός hardcoded μηχάνημα στη διαμόρφωση της πύλης Centrestack (web.config). Εάν ένας εισβολέας γνωρίζει αυτό το κλειδί, μπορούν να δημιουργήσουν ένα κακόβουλο ωφέλιμο φορτίο που ο διακομιστής θα εμπιστευτεί και θα εκτελέσει.
Σύμφωνα με τη συμβουλή του προμηθευτή, το ακατάλληλο προστατευμένο κλειδί εξασφαλίζει το ASP.NET ViewState, το οποίο, εάν σφυρηλατεί, μπορεί να επιτρέψει στους επιτιθέμενους να παρακάμψουν τους ελέγχους ακεραιότητας, να εισάγουν αυθαίρετα σειριακά αντικείμενα και τελικά να εκτελέσουν κώδικα στον διακομιστή.
Διορθώσεις και διαθέσιμες μετρήσεις
Γλάρος κυκλοφόρησε μια λύση ασφαλείας Για το CVE-2025-30406 στις 3 Απριλίου 2025, με τις εκδόσεις 16.4.10315.56368, 16.3.4763.56357 (Windows) και 15.12.434 (MACOS).
Ο πωλητής συνιστά να αναβαθμίσουν όλοι οι χρήστες στην τελευταία έκδοση για τις πλατφόρμες τους το συντομότερο δυνατό ή να περιστρέφουν με μη αυτόματο τρόπο το “MachineKey” και στις δύο root \ web.config και “portal \ web.config”.
“Η εκμετάλλευση έχει παρατηρηθεί στην άγρια φύση. Συνιστούμε έντονα την ενημέρωση στην patched έκδοση, η οποία βελτιώνει τη διαχείριση των βασικών και μετριάζει την έκθεση”. συμβουλεύει τον Gladinet.
“Για τους πελάτες που δεν μπορούν να ενημερώσουν αμέσως, η περιστροφή των τιμών μηχανής είναι ένας συνιστώμενος προσωρινός μετριασμός.”
Εκείνοι που εκτελούν περιστροφή μηχανών στο περιβάλλον τους πρέπει να εξασφαλίζουν τη συνοχή τους σε κόμβους σε αναπτύξεις πολλαπλών διακομιστών για να αποφευχθούν τα επιχειρησιακά προβλήματα και να επανεκκινήσουν τα IIS μετά από αλλαγές για να εφαρμοστούν οι μετριασμοί.
Η CISA έχει προσθέσει CVE-2025-30406 στον γνωστό κατάλογο εκμετάλλευσης ευπάθειας, αλλά δεν έχει υποδείξει ότι έχει εκμεταλλευτεί από συμμορίες ransomware.
Ωστόσο, δεδομένης της φύσης του προϊόντος, είναι πιθανό να εκμεταλλευτεί για επιθέσεις κλοπής δεδομένων.
Αυτοί οι τύποι ελαττωμάτων έχουν ιστορικά στοχεύσει από τη συμμορία Ransomware Clop, η οποία έχει εμπειρία στην εκμετάλλευση συστημάτων κοινής χρήσης αρχείων. Προηγούμενες επιθέσεις κλοπής δεδομένων clop στοχεύουν το Cleo, το MoveIt Transfer, το GoAnywhere MFT, το SolarWinds SERV-U και τις πλατφόρμες ασφαλούς μεταφοράς αρχείων Accelion FTA.
Η αμερικανική υπηρεσία έχει δώσει επηρεασμένες κρατικές και ομοσπονδιακές οργανώσεις μέχρι τις 29 Απριλίου 2025να εφαρμόσετε ενημερώσεις και μετριασμούς ασφαλείας ή να σταματήσετε να χρησιμοποιείτε το προϊόν.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
