Huntress’e göre, Gladinet Centrestack’teki yakın zamanda açıklanan bir güvenlik kusuru, Triofox uzaktan erişimini ve işbirliği çözümünü de etkiliyor ve yedi farklı kuruluş bugüne kadar uzlaşıyor.
Olarak izlendi CVE-2025-30406 (CVSS Puanı: 9.0), güvenlik açığı, İnternet tarafından erişilebilir sunucuları uzaktan kod yürütme saldırılarına maruz bırakabilecek sabit kodlu bir şifreleme anahtarının kullanımını ifade eder.
3 Nisan 2025’te piyasaya sürülen 16.4.10315.56368 sürümünde ele alınmıştır. Güvenlik açığının Mart 2025’te sıfır gün olarak kullanıldığı söylenir, ancak saldırıların kesin doğası bilinmemektedir.
Huntress’e göre, zayıflık 16.4.10317.56372 sürümüne kadar Gladinet Triofox’u da etkiliyor.
Huntress’in ana siber güvenlik araştırmacısı John Hammond, “Varsayılan olarak, Triofox yazılımının önceki sürümleri yapılandırma dosyalarında aynı sabit kodlu kriptografik anahtarlara sahiptir ve uzaktan kod yürütülmesi için kolayca istismar edilebilir.” Dedi.
Ortak tabanından toplanan telemetri verileri, Centrestack yazılımının yaklaşık 120 uç noktaya yüklendiğini ve yedi benzersiz kuruluşun güvenlik açığının sömürülmesinden etkilendiğini ortaya koymuştur.
En erken uzlaşma işareti 11 Nisan 2025, 16:59:44 UTC’ye kadar uzanmaktadır. Saldırganlar, Crushftp kusurunu kullanarak son saldırılarda görülen bir yaklaşım olan kodlanmış bir PowerShell betiği kullanarak bir DLL’yi indirmek ve sideloot etmek için kusurdan yararlandığı gözlemlendi, ardından yanal hareket gerçekleştirdi ve uzaktan erişim için Meshcentral takıldı.
https://www.youtube.com/watch?v=-zpjygzdujm
Huntress ayrıca saldırganların çeşitli numaralandırma komutlarını gerçekleştirmek ve örgü kurmak için PowerShell komutlarını çalıştıran powershell komutları olarak tanımlandığını söyledi. Bununla birlikte, kampanyaların tam ölçeği ve nihai hedefi şu anda bilinmemektedir.
Aktif sömürü ışığında, Gladinet Centrestack ve Triofox kullanıcılarının potansiyel risklere karşı korunmak için örneklerini en son sürüme güncellemeleri önemlidir.