Detección de CVE-2025-30406: Vulnerabilidad crítica RCE en Gladinet CentreStack & Triofox bajo explotación activa
Tabla de contenidos:
Ha surgido una vulnerabilidad crítica en las plataformas de intercambio de archivos y acceso remoto empresarial Gladinet CentreStack y Triofox, muy utilizadas, y ya está siendo explotada activamente. Al menos siete organizaciones han sido comprometidas a través de esta falla, rastreada como CVE-2025-30406. ¿La causa raíz? Una clave criptográfica codificada que deja los servidores expuestos en Internet peligrosamente vulnerables a ataques de ejecución remota de código.
Detectar ataques que aprovechan la vulnerabilidad CVE-2025-30406
A partir de abril de 2025, el NIST NVD ha registrado más de 14,500 nuevos CVEs, con un número significativo ya explotado en la naturaleza. La rápida aprovechación de las vulnerabilidades subraya la necesidad urgente de detección proactiva de amenazas. Para reducir efectivamente el riesgo, los equipos de seguridad deben priorizar la identificación temprana y las estrategias de respuesta que se adelanten a las amenazas en evolución.
Regístrese en la plataforma SOC Prime y acceda a un conjunto de reglas Sigma curadas que abordan intentos de explotación del CVE-2025-30406 junto con un conjunto completo de productos para la ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas. Simplemente haga clic en el Explorar detecciones botón a continuación para profundizar inmediatamente en una pila de detección relevante.
Todas las reglas son compatibles con más de 40 tecnologías SIEM, EDR y Data Lake, y están mapeadas a MITRE ATT&CK® para agilizar la investigación de amenazas. Además, cada regla está enriquecida con metadatos extensos, incluyendo CTI referencias, cronologías de ataques, configuraciones de auditoría, recomendaciones de triaje y más.
Los defensores cibernéticos que buscan contenido más relevante para detectar ciberataques que aprovechan vulnerabilidades emergentes podrían acceder a toda la colección de los algoritmos de detección relevantes buscando en el Marketplace de Detección de Amenazas con el tag “CVE”.
Análisis de CVE-2025-30406
El 8 de abril de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) añadió CVE-2025-30406 a su catálogo de vulnerabilidades explotadas conocidas, confirmando la explotación en curso en la naturaleza. Observado por primera vez como un día cero en marzo de 2025, la naturaleza exacta y el alcance de los ataques siguen sin estar claros. La vulnerabilidad se descubrió inicialmente en el software CentreStack de Gladinet y abordada en la versión 16.4.10315.56368, lanzada el 3 de abril de 2025. Sin embargo, nuevos hallazgos de Huntress confirman que la falla también afecta a Triofox, otro producto de Gladinet, hasta la versión 16.4.10317.56372, ampliando significativamente la superficie de ataque.
Al menos siete organizaciones ya han caído presa del CVE-2025-30406, con los primeros signos de intrusión rastreados hasta el 11 de abril de 2025. Los actores de amenaza no perdieron tiempo, explotando la vulnerabilidad para desplegar scripts de PowerShell codificados que descargan e inyectan DLL maliciosas. La actividad posterior al compromiso incluye el movimiento lateral a través de redes y la instalación de MeshCentral para acceso remoto persistente. Los investigadores también han observado el uso de herramientas de Impacket a través de PowerShell para llevar a cabo la enumeración del sistema e introducir cargas de MeshAgent. Si bien las tácticas son cada vez más claras, el alcance total y los objetivos finales de estas campañas continúan envueltos en incertidumbre.
CVE-2025-30406 tiene un puntaje CVSS crítico de 9.0 y se origina en una gestión defectuosa de claves criptográficas en las aplicaciones web de Gladinet. Específicamente, el software depende de valores machineKey codificados o mal asegurados en el web.config de IIS, que están destinados a proteger los datos ViewState de ASP.NET. Si un atacante puede acceder o adivinar estas claves, pueden crear cargas de ViewState maliciosas que evitan los controles de integridad. En ciertas configuraciones, esto abre la puerta a ataques de deserialización, lo que potencialmente resulta en la ejecución remota de código en el servidor.
Dada la explotación activa y la naturaleza crítica de esta vulnerabilidad, se recomienda encarecidamente a todos los usuarios que actualicen sus instalaciones de Gladinet CentreStack y Triofox a las últimas versiones disponibles. Seguir la orientación del proveedor delineada en el aviso oficial es esencial para reducir la exposición y fortalecer las defensas contra posibles ataques. Las organizaciones que buscan optimizar su postura de ciberseguridad pueden confiar en la plataforma SOC Prime para la defensa cibernética colectiva para identificar oportunamente intentos de explotación de CVE y prevenir proactivamente ataques cibernéticos de cualquier escala y sofisticación.
