CVE-2025-30406-Erkennung: Kritische RCE-Schwachstelle in Gladinet CentreStack & Triofox wird aktiv ausgenutzt
Inhaltsverzeichnis:
Eine kritische Schwachstelle in den weit verbreiteten Enterprise Plattformen Gladinet CentreStack und Triofox für Dateifreigabe und Fernzugriff ist aufgetaucht — und sie wird bereits aktiv ausgenutzt. Mindestens sieben Organisationen sollen durch diesen Fehler kompromittiert worden sein, der als CVE-2025-30406 verfolgt wird. Der Hauptgrund? Ein hartcodierter kryptografischer Schlüssel, der internetzugängliche Server gefährlich für Remote-Code-Ausführungsangriffe exponiert.
Erkennung von Angriffen, die die Schwachstelle CVE-2025-30406 ausnutzen
Ab April 2025 hat die NIST NVD über 14.500 neue CVEs aufgezeichnet, von denen eine signifikante Anzahl bereits in freier Wildbahn ausgenutzt wird. Die schnelle Bewaffnung von Schwachstellen unterstreicht die dringende Notwendigkeit einer proaktiven Bedrohungserkennung. Um das Risiko effektiv zu reduzieren, müssen Sicherheitsteams vorrangig frühe Identifikations- und Reaktionsstrategien entwickeln, die den sich entwickelnden Bedrohungen voraus sind.
Registrieren Sie sich auf der SOC Prime Plattform und greifen Sie auf eine Reihe kuratierter Sigma-Regeln zu, die Exploitversuche von CVE-2025-30406 adressieren, sowie auf eine vollständige Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung. Drücken Sie einfach den Erkunden Sie Erkennungen Knopf unten, um sofort zu einem relevanten Erkennungsstack zu gelangen.
Alle Regeln sind mit über 40 SIEM-, EDR- und Data-Lake-Technologien kompatibel und mit MITRE ATT&CK® abgebildet, um die Bedrohungsuntersuchung zu optimieren. Darüber hinaus wird jede Regel mit umfangreichen Metadaten angereichert, darunter CTI Referenzen, Angriffschronologien, Prüfungskonfigurationen, Triage-Empfehlungen und mehr.
Cyber-Verteidiger, die nach relevanterem Inhalt suchen, um Cyberangriffe zu erkennen, die aktuelle Schwachstellen ausnutzen, können die gesamte Sammlung relevanter Erkennungsalgorithmen abrufen, indem sie den Threat Detection Marketplace nach dem Tag „CVE“ durchsuchen.
Analyse von CVE-2025-30406
Am 8. April 2025 hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) CVE-2025-30406 zu ihrem Katalog für bekannte ausgenutzte Schwachstellen hinzugefügt , was die laufende Ausnutzung in der freien Wildbahn bestätigt. Erstmals als Zero-Day im März 2025 beobachtet, bleibt die genaue Natur und das Ausmaß der Angriffe unklar. Die Schwachstelle wurde zunächst in der CentreStack-Software von Gladinet entdeckt und in der Version 16.4.10315.56368 adressiert, die am 3. April 2025 veröffentlicht wurde. Neue Erkenntnisse von Huntress in version 16.4.10315.56368, released on April 3, 2025. However, new findings from Huntress bestätigen , dass das Problem auch Triofox, ein weiteres Produkt von Gladinet, bis Version 16.4.10317.56372 betrifft, was die Angriffsfläche erheblich erweitert.
Mindestens sieben Organisationen sind bereits Opfer von CVE-2025-30406 geworden, wobei die frühesten Anzeichen eines Eindringens auf den 11. April 2025 zurückdatiert werden. Bedrohungsakteure nutzten die Schwachstelle, um codierte PowerShell-Skripte einzusetzen, die bösartige DLLs herunterladen und seitlich geladen werden. Die Aktivitäten nach dem Kompromiss umfassen die latente Bewegung in Netzwerken und die Installation von MeshCentral für persistenten Fernzugriff. Ermittler haben auch die Nutzung von Impacket-Tools über PowerShell beobachtet, um Systemenumerationen durchzuführen und MeshAgent-Payloads abzulegen. Während die Taktiken klarer werden, bleiben das gesamte Ausmaß und die ultimativen Ziele dieser Kampagnen im Ungefähren.
CVE-2025-30406 hat einen kritischen CVSS-Score von 9.0 und resultiert aus fehlerhafter kryptografischer Schlüsselverwaltung in den Webanwendungen von Gladinet. Konkret stützt sich die Software auf hartcodierte oder schlecht gesicherte machineKey Werte in der IIS web.config, die dazu gedacht sind, ASP.NET ViewState-Daten zu schützen. Wenn ein Angreifer in der Lage ist, auf diese Schlüssel zuzugreifen oder sie zu erraten, können sie bösartige ViewState-Payloads erstellen, die Integritätsprüfungen umgehen. In bestimmten Konfigurationen eröffnet dies die Tür zu Deserialisierungsangriffen, die möglicherweise zu einer Remote-Code-Ausführung auf dem Server führen.
Angesichts der aktiven Ausnutzung und der kritischen Natur dieser Schwachstelle werden alle Benutzer dringend aufgefordert, ihre Installationen von Gladinet CentreStack und Triofox auf die neuesten verfügbaren Versionen zu aktualisieren. Die Befolgung der im offiziellen Advisory dargelegten Anweisungen des Verkäufers ist entscheidend, um die Exposition zu reduzieren und die Abwehr gegen mögliche Angriffe zu stärken. Organisationen, die bestrebt sind, ihre Cybersicherheitslage risikoorientiert zu optimieren, können sich auf die SOC Prime Plattform für kollektive Cyber-Verteidigung verlassen, um rechtzeitig CVE-Ausnutzungsversuche zu identifizieren und Cyberangriffe jeder Größenordnung und Komplexität proaktiv abzuwehren.
