В начале апреля 2025 года компания Huntress обнаружила и публично сообщила о критической уязвимости в продуктах Gladinet — CentreStack и Triofox. Эта уязвимость получила идентификатор CVE-2025-30406 и максимальную оценку по CVSS — 9,0, что указывает на крайне высокий уровень риска.
Суть проблемы заключается в использовании жестко заданного криптографического ключа, который по умолчанию присутствует в конфигурационных файлах обоих продуктов. Это позволяет злоумышленникам проводить атаки с удаленным выполнением кода (RCE) на серверах, доступных из интернета, и захватывать полный контроль над системой.
Под угрозой оказались все версии CentreStack до 16.4.10315.56368 и Triofox вплоть до версии 16.4.10317.56372. Уязвимость позволила злоумышленникам воспользоваться универсальным ключом для обхода аутентификации и выполнения вредоносных команд.
Патч, устраняющий уязвимость в CentreStack, был выпущен 3 апреля 2025 года (версия 16.4.10315.56368). Однако, по данным Huntress, атаки на уязвимые серверы начались еще в марте и к 11 апреля 2025 года уже были зафиксированы первые случаи компрометации, о чем свидетельствуют журналы событий с отметкой времени 16:59:44 UTC.
Исследования John Hammond, ведущего специалиста по кибербезопасности Huntress, показали, что на момент анализа ПО CentreStack было установлено примерно на 120 конечных точках, и по меньшей мере семь уникальных организаций подверглись успешным атакам.
Хакеры применяли инструменты Impacket для удаленного управления через PowerShell, а также устанавливали вредоносный агент MeshAgent для дальнейшего контроля над системами жертв. Детали масштабов и окончательных целей этих кампаний пока неизвестны.
Всем пользователям CentreStack и Triofox необходимо немедленно обновить программное обеспечение до последних версий. Использование устаревших версий подвергает инфраструктуру риску полного компрометирования и потери данных.
«Поскольку ключ был одинаковым для всех установок, злоумышленники могли с легкостью эксплуатировать уязвимость на любом уязвимом сервере», — отметил John Hammond.
С учетом степени риска и уже подтвержденных случаев атак, промедление с обновлением может привести к серьёзным последствиям для компаний, использующих решения Gladinet.
Изображение носит иллюстративный характер
Суть проблемы заключается в использовании жестко заданного криптографического ключа, который по умолчанию присутствует в конфигурационных файлах обоих продуктов. Это позволяет злоумышленникам проводить атаки с удаленным выполнением кода (RCE) на серверах, доступных из интернета, и захватывать полный контроль над системой.
Под угрозой оказались все версии CentreStack до 16.4.10315.56368 и Triofox вплоть до версии 16.4.10317.56372. Уязвимость позволила злоумышленникам воспользоваться универсальным ключом для обхода аутентификации и выполнения вредоносных команд.
Патч, устраняющий уязвимость в CentreStack, был выпущен 3 апреля 2025 года (версия 16.4.10315.56368). Однако, по данным Huntress, атаки на уязвимые серверы начались еще в марте и к 11 апреля 2025 года уже были зафиксированы первые случаи компрометации, о чем свидетельствуют журналы событий с отметкой времени 16:59:44 UTC.
Исследования John Hammond, ведущего специалиста по кибербезопасности Huntress, показали, что на момент анализа ПО CentreStack было установлено примерно на 120 конечных точках, и по меньшей мере семь уникальных организаций подверглись успешным атакам.
Хакеры применяли инструменты Impacket для удаленного управления через PowerShell, а также устанавливали вредоносный агент MeshAgent для дальнейшего контроля над системами жертв. Детали масштабов и окончательных целей этих кампаний пока неизвестны.
Всем пользователям CentreStack и Triofox необходимо немедленно обновить программное обеспечение до последних версий. Использование устаревших версий подвергает инфраструктуру риску полного компрометирования и потери данных.
«Поскольку ключ был одинаковым для всех установок, злоумышленники могли с легкостью эксплуатировать уязвимость на любом уязвимом сервере», — отметил John Hammond.
С учетом степени риска и уже подтвержденных случаев атак, промедление с обновлением может привести к серьёзным последствиям для компаний, использующих решения Gladinet.
