Détection CVE-2025-30406 : Vulnérabilité RCE critique dans Gladinet CentreStack & Triofox sous exploitation active
Table des matières :
Une vulnérabilité critique dans les plateformes de partage de fichiers et d’accès à distance Gladinet CentreStack et Triofox, largement utilisées, a émergé — et est déjà exploitée activement. Au moins sept organisations auraient été compromises par cette faille, suivie sous le nom CVE-2025-30406. La cause principale ? Une clé cryptographique codée en dur qui laisse les serveurs exposés à Internet dangereusement vulnérables aux attaques par exécution de code à distance.
Détecter les attaques exploitant la vulnérabilité CVE-2025-30406
En avril 2025, le NIST NVD a enregistré plus de 14 500 nouveaux CVE, dont un nombre significatif a déjà été exploité dans la nature. La rapide militarisation des vulnérabilités souligne l’urgence d’une détection proactive des menaces. Pour réduire efficacement le risque, les équipes de sécurité doivent prioriser les stratégies d’identification et de réponse précoces qui devancent les menaces évolutives.
Inscrivez-vous à la plateforme SOC Prime et accédez à un ensemble de règles Sigma sélectionnées abordant les tentatives d’exploitation de CVE-2025-30406 ainsi qu’à une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la détection avancée des menaces. Appuyez simplement sur le Explorez les détections bouton ci-dessous pour approfondir immédiatement dans une pile de détection pertinente.
Toutes les règles sont compatibles avec plus de 40 technologies SIEM, EDR et Data Lake, et cartographiées à MITRE ATT&CK® pour rationaliser l’enquête sur les menaces. De plus, chaque règle est enrichie avec de vastes métadonnées, y compris des CTI références, des chronologies d’attaque, des configurations d’audit, des recommandations de triage, et plus encore.
Les défenseurs cybernétiques cherchant du contenu plus pertinent pour détecter les cyberattaques utilisant les vulnérabilités à la mode peuvent accéder à l’ensemble complet des algorithmes de détection pertinents en recherchant le Marketplace de détection des menaces avec le tag « CVE ».
Analyse CVE-2025-30406
Le 8 avril 2025, l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a ajouté CVE-2025-30406 à son catalogue de vulnérabilités exploitées connues, confirmant une exploitation en cours dans la nature. Observée pour la première fois en tant que zero-day en mars 2025, la nature exacte et l’ampleur des attaques restent incertaines. La vulnérabilité a été initialement découverte dans le logiciel CentreStack de Gladinet et résolue dans la version 16.4.10315.56368, publiée le 3 avril 2025. Cependant, de nouvelles découvertes de Huntress confirment que la faille affecte également Triofox, un autre produit Gladinet, jusqu’à la version 16.4.10317.56372 — élargissant ainsi considérablement la surface d’attaque.
Au moins sept organisations ont déjà été victimes de CVE-2025-30406, les premiers signes d’intrusion remontant au 11 avril 2025. Les acteurs de la menace n’ont pas perdu de temps, exploitant la vulnérabilité pour déployer des scripts PowerShell encodés qui téléchargent et utilisent des DLL malveillantes. L’activité post-compromission comprend le mouvement latéral à travers les réseaux et l’installation de MeshCentral pour un accès à distance persistant. Les enquêteurs ont également observé l’utilisation d’outils Impacket via PowerShell pour effectuer un inventaire système et déposer des charges utiles MeshAgent. Bien que les tactiques deviennent plus claires, l’étendue complète et les objectifs ultimes de ces campagnes restent enveloppés d’incertitude.
CVE-2025-30406 a un score CVSS critique de 9,0 et provient d’une gestion défectueuse des clés cryptographiques dans les applications web de Gladinet. Plus précisément, le logiciel repose sur des values machineKey codées en dur ou mal sécurisées dans le web.config de l’IIS, qui sont censées protéger les données ASP.NET ViewState. Si un attaquant est capable d’accéder ou de deviner ces clés, il peut créer des charges utiles ViewState malveillantes qui échappent aux vérifications d’intégrité. Dans certaines configurations, cela ouvre la porte à des attaques de désérialisation, pouvant potentiellement entraîner une exécution de code à distance sur le serveur.
Étant donné l’exploitation active et la nature critique de cette vulnérabilité, tous les utilisateurs sont fortement conseillés de mettre à jour leurs installations Gladinet CentreStack et Triofox vers les dernières versions disponibles. Suivre les conseils du fournisseur décrits dans l’ avis officiel est essentiel pour réduire l’exposition et renforcer les défenses contre les attaques potentielles. Les organisations s’efforçant d’optimiser les risques de leur posture de cybersécurité peuvent s’appuyer sur la plateforme SOC Prime pour une défense cybernétique collective permettant d’identifier en temps opportun les tentatives d’exploitation de CVE et de déjouer de manière proactive les cyberattaques de toute ampleur et sophistication.
