В пятницу, 11 апреля 2025 года, компания Huntress SOC получила предупреждение от своего внутреннего детектора уязвимостей 0-day.
Описание
Обнаруженные нестандартные исходящие соединения из рабочего процесса IIS указывали на наличие возможности обнаружения программного обеспечения, обслуживаемого рабочим веб-сервисом. Отчет указывал на наличие уязвимости CVE-2025-30406, связанной с программным обеспечением Gladinet CentreStack и Triofox, и были обнаружены случаи скомпрометированных организаций через эту уязвимость.
Согласно базе данных NIST NVD, уязвимость CVE-2025-30406 относится к жестко закодированным ключам, находящимся в конфигурационных файлах CentreStack и Triofox. Она может быть использована для атак с десериализацией ViewState ASPX-приложения CentreStack, которые сохраняют состояние веб-страницы между запросами. Результаты исследования показали наличие уязвимых серверов, открытых для доступа в Интернете, и состояние эксплуатации уязвимости злоумышленниками.
Для исправления проблемы или снижения риска, обновленные значения machineKey должны быть применены к файлам конфигурации веб-серверов. Официальные руководства по устранению уязвимости были выпущены компанией Gladinet для CentreStack и Triofox. Исправления программного обеспечения Gladinet CentreStack и Triofox были выпущены, и рекомендуется обновиться до последних версий или вручную изменить значения machineKey, как указано в руководстве.
Indicators of Compromise
IPv4
- 104.21.16.1
- 104.21.48.1
- 165.227.7.206
- 2.58.56.16
- 45.84.107.76
SHA256
- 30981d4082b58704d12a376c3cbb12fecb8a36c2bce64666315e26aef21e75c2
- 48b006cb17e75ecdb707dc40dd654f449b94abe49f97a808b35cabca1c5fabbf
