Dalış Kılavuzu:
Huntress Pazartesi günü, sömürülmesini gösteren araştırmalar yayınladı. CVE-2025-30406Gladinet’in Centrestack Enterprise Dosya paylaşım platformunda (MSP’ler) seans oluşturma güvenlik açığı. Siber güvenlik satıcısı, yedi kuruluşun, uzaktan kod yürütülmesi için kullanılabilecek sert kodlanmış bir kriptografik anahtar içeren sıfır gün kusuruyla tehlikeye atıldığını söyledi.
Avcı uyarılmış Gladinet’in Triofox ürününün de sert kodlanmış bir anahtara dayanması ve CVE-2025-30406’ya karşı savunmasızdır. Triofox, Gladinet’e göre, daha büyük işletmeler için tasarlanmış şirket içi bir dosya paylaşımı sunucusudur.
Cisa ekledi CVE-2025-30406 9 Nisan’da bilinen sömürülen güvenlik açıkları kataloğuna. Gladinet ilk olarak 3 Nisan’da kusuru açıkladı ve vahşi doğada sömürünün gözlemlendiği konusunda uyardı.
Dalış içgörü:
CVE-2025-30406, Centrestack’in yapılandırma dosyalarında sabit kodlu bir anahtar kullanımından kaynaklanan kritik bir kusurdur. Huntress’e göre, anahtar “çok standart ve iyi araştırılmış bir saldırı tekniği” nde kullanılabilir, bu da saldırganlara Centrestack örneğinin ve içinde bulunan müşteri verilerinin tam kontrolünü verebilir.
Hem Ulusal Güvenlik Açığı Veritabanı (NVD) hem de Cve.org Güvenlik açığının Mart ayında vahşi doğada kullanıldığını varsayalım. Huntress’in baş güvenlik araştırmacısı John Hammond, araştırma görevinde, siber güvenlik satıcısının müşterileri arasında merkezli 120 uç nokta keşfettiğini ve savunmasız örneklerle yedi benzersiz kuruluşun tehlikeye atıldığını söyledi.
Hammond ayrıca CVE-2025-30406’nın merkezden daha fazla etkilediği konusunda da uyardı. “Bu zayıflığın 16.4.10317.56372 sürümüne kadar Gladinet Triofox’u etkilediğini belirtmek çok önemlidir.” “Varsayılan olarak, Triofox yazılımının önceki sürümleri, yapılandırma dosyalarında aynı sabit kodlu kriptografik anahtarlara sahiptir ve uzaktan kod yürütülmesi için kolayca istismar edilebilir.”
Triofox, CVE-2025-30406 için NVD veya CVE.org girişlerinde belirtilmemiştir. Benzer şekilde, Gladinet’in CVE-2025-30406 için ilk danışmanlığı Triofox’tan bahsetmiyor, ancak satıcı bir ayrı danışma Bu ürün için hafifletme rehberliği içeriyordu.
Hammond, “Bu sert kodlanmış anahtarlarla bir GladInet Centrestack veya Triofox sunucusu internete maruz kalıyorsa, hemen tehlikede ve yamalı veya makineli barkık değerlerinin mümkün olan en kısa sürede değişmesi gerekiyor.”
Buna ek olarak, Huntress, açık kaynaklı bir uzaktan yönetim aracı olan Meshcentral’ı konuşlandıran ve kurban ortamlarında yanal olarak hareket eden tehdit aktörlerini gözlemledi. Blog yazısı IP adreslerini ve bu saldırılara bağlı diğer uzlaşma göstergelerini içerir.
Gladinet, danışmanlarında, müşterilerin her kurulum için otomatik olarak benzersiz bir anahtar oluşturan Centrestack sürüm 16.4.10315.56368’e yükseltilmesini önerdi. Gladinet, anahtarları geçici bir hafifletme olarak manuel olarak döndürmeye yamalayan müşterileri çağırdı.