В марте 2025 года была выявлена опасная уязвимость в программном обеспечении Gladinet CentreStack, которая немедленно привлекла внимание специалистов по кибербезопасности. Уязвимость получила идентификатор CVE-2025-30406 и критическую оценку по шкале CVSS — 9.0. Главная причина — использование жёстко заданного (hard-coded) криптографического ключа machineKey в конфигурационном файле web.config сервера IIS.
Эксплуатация этой уязвимости стала возможной вследствие того, что CentreStack некорректно управлял ключами, отвечающими за целостность ViewState. Если злоумышленник знал значение machineKey, он мог создать вредоносный payload, который сервер принимал за легитимный. Это давало возможность удалённого выполнения кода (RCE) на сервере без ведома владельца системы.
В марте 2025 года уязвимость стала эксплуатироваться злоумышленниками до того, как был выпущен официальный патч. Данный факт квалифицирует проблему как zero-day — атаку на нулевой день, когда разработчики ещё не подготовили исправление, а пользователи остаются беззащитными. Несмотря на отсутствие данных о конкретных жертвах или группах-нападавших, подтверждение активной эксплуатации стало основанием для экстренного реагирования.
Американское агентство по кибербезопасности и инфраструктуре (CISA) официально включило CVE-2025-30406 в свой каталог известных эксплуатируемых уязвимостей (KEV). В своём заявлении CISA отметило: «Gladinet CentreStack содержит уязвимость, связанную с использованием жёстко заданного криптографического ключа при управлении ключами для проверки целостности ViewState. Успешная эксплуатация позволяет злоумышленнику подделывать ViewState-пакеты для серверной десериализации, что даёт возможность удалённого выполнения кода».
3 апреля 2025 года был выпущен патч версии 16.4.10315.56368, устраняющий уязвимость. Компания Gladinet в своём уведомлении подтвердила, что случаи успешных атак имели место и настоятельно рекомендовала всем клиентам срочно обновить программное обеспечение. Для тех, кто не может немедленно установить патч, был предложен временный обходной путь — смена значения machineKey в файле web.config для предотвращения известных атак.
Из-за отсутствия технических деталей о способах эксплуатации и идентификации нападавших организациям рекомендуется максимально быстро реагировать на появление новых патчей, особенно когда речь идёт о продуктах, обрабатывающих чувствительные данные и обеспечивающих облачный доступ.
Инцидент с CentreStack показал, что даже современное программное обеспечение подвержено фундаментальным ошибкам — в данном случае, использованию hard-coded ключей, которые критически ослабляют защиту. Уроки этого случая подчёркивают необходимость регулярного аудита конфигураций и обновления систем безопасности для минимизации рисков от подобных угроз.
Изображение носит иллюстративный характер
Эксплуатация этой уязвимости стала возможной вследствие того, что CentreStack некорректно управлял ключами, отвечающими за целостность ViewState. Если злоумышленник знал значение machineKey, он мог создать вредоносный payload, который сервер принимал за легитимный. Это давало возможность удалённого выполнения кода (RCE) на сервере без ведома владельца системы.
В марте 2025 года уязвимость стала эксплуатироваться злоумышленниками до того, как был выпущен официальный патч. Данный факт квалифицирует проблему как zero-day — атаку на нулевой день, когда разработчики ещё не подготовили исправление, а пользователи остаются беззащитными. Несмотря на отсутствие данных о конкретных жертвах или группах-нападавших, подтверждение активной эксплуатации стало основанием для экстренного реагирования.
Американское агентство по кибербезопасности и инфраструктуре (CISA) официально включило CVE-2025-30406 в свой каталог известных эксплуатируемых уязвимостей (KEV). В своём заявлении CISA отметило: «Gladinet CentreStack содержит уязвимость, связанную с использованием жёстко заданного криптографического ключа при управлении ключами для проверки целостности ViewState. Успешная эксплуатация позволяет злоумышленнику подделывать ViewState-пакеты для серверной десериализации, что даёт возможность удалённого выполнения кода».
3 апреля 2025 года был выпущен патч версии 16.4.10315.56368, устраняющий уязвимость. Компания Gladinet в своём уведомлении подтвердила, что случаи успешных атак имели место и настоятельно рекомендовала всем клиентам срочно обновить программное обеспечение. Для тех, кто не может немедленно установить патч, был предложен временный обходной путь — смена значения machineKey в файле web.config для предотвращения известных атак.
Из-за отсутствия технических деталей о способах эксплуатации и идентификации нападавших организациям рекомендуется максимально быстро реагировать на появление новых патчей, особенно когда речь идёт о продуктах, обрабатывающих чувствительные данные и обеспечивающих облачный доступ.
Инцидент с CentreStack показал, что даже современное программное обеспечение подвержено фундаментальным ошибкам — в данном случае, использованию hard-coded ключей, которые критически ослабляют защиту. Уроки этого случая подчёркивают необходимость регулярного аудита конфигураций и обновления систем безопасности для минимизации рисков от подобных угроз.
