Bilgisayar korsanları, Gladinet Centrestack’in güvenli dosya paylaşım yazılımındaki bir güvenlik açığından, depolama sunucularını ihlal etmek için Mart ayından bu yana sıfır gün olarak kullandı
Gladinet Centrestack, şirket içi dosya sunucularını (SMB paylaşımlı Windows sunucuları gibi) dahili dosya paylaşımlarına uzak erişimi, dosya senkronizasyonuna ve paylaşımına, çok kiracılı dağıtımlara ve Active Director ile entegrasyona destekleyen güvenli, bulut benzeri dosya sistemlerine dönüştüren bir kurumsal dosya paylaşımı ve erişim platformudur.
Şirket, ürünün Windows tabanlı dosya sunucularına sahip işletmeler, birden fazla istemci için dosya hizmetleri barındırma ve bulut taşıma olmadan bulut benzeri erişime ihtiyaç duyan çeşitli kuruluşlar da dahil olmak üzere 49 ülkede binlerce işletme tarafından kullanıldığını iddia ediyor.
CVE-2025-30406 olarak izlenen kusur, 16.1.10296.56315’e kadar olan Gladinet Centrestack sürümlerini etkileyen bir seansizasyon kırılganlığıdır. Mart 2025’ten beri vahşi doğada sömürü gözlenmiştir.
Sorun, Centrestack Portal’ın yapılandırmasında (Web.Config) sabit kodlu bir makineli tuş kullanmaktan kaynaklanıyor. Bir saldırgan bu anahtarı biliyorsa, sunucunun güveneceği ve yürüteceği kötü niyetli bir serileştirilmiş yük oluşturabilirler.
Satıcının danışmanlığına göre, yanlış korunan anahtar, saldırganların bütünlük kontrollerini atlamasına, keyfi serileştirilmiş nesneler enjekte etmesine ve sonunda sunucuda kod yürütmesine izin verebilen ASP.NET ViewState’i sabitler.
Düzeltme ve azaltma mevcut
Gladinet, 3 Nisan 2025’te CVE-2025-30406 için bir güvenlik düzeltmesi, 16.4.10315.56368, 16.3.4763.56357 (Windows) ve 15.12.434 (MACOS) sürümleriyle yayınladı.
Satıcı, tüm kullanıcıların en kısa sürede platformları için en son sürüme yükseltilmesini veya ‘root \ web.config’ ve ‘portal \ web.config’ de ‘MachineKey’i manuel olarak döndürmesini önerir.
Gladinet, “Vahşi doğada sömürü gözlemlendi. Anahtar yönetimi geliştiren ve maruz kalmayı azaltan yamalı versiyona güncellenmenizi şiddetle tavsiye ediyoruz.”
“Hemen güncelleme yapamayan müşteriler için, Machine Tarkası değerlerini döndürmek önerilen geçici bir azaltmadır.”
Makine tuşuna dönüş yapanlar, operasyonel sorunlardan kaçınmak ve hafifletilerin uygulanması için değişikliklerden sonra IIS’yi yeniden başlatmak için çoklu sunucu dağıtımlarındaki düğümler arasında tutarlılık sağlamalıdır.
CISA, bilinen sömürülen güvenlik açığı kataloğuna CVE-2025-30406 ekledi, ancak fidye yazılımı çeteleri tarafından sömürüldüğünü göstermedi.
Ancak, ürünün doğası göz önüne alındığında, muhtemelen veri hırsızlığı saldırıları için sömürülmektedir.
Bu tür kusurlar tarihsel olarak dosya paylaşım sistemlerinden yararlanma konusunda uzmanlığa sahip olan klop fidye yazılımı çetesi tarafından hedef alınmıştır. Önceki CLOP veri hırsızlığı saldırıları CLEO, Moveit Transfer, Goanywhere MFT, SolarWinds Serv-U ve Hızlı Dosya Aktarım Platformlarını hedefledi.
ABD ajansı, güvenlik güncellemeleri ve hafifletme uygulamalarını veya ürünü kullanmayı bırakması için 29 Nisan 2025 yılına kadar etkilenen eyalet ve federal kuruluşları vermiştir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.