Rilevamento CVE-2025-30406: Vulnerabilità RCE critica in Gladinet CentreStack & Triofox sotto attacco attivo
Indice:
È emersa una vulnerabilità critica nelle piattaforme di condivisione file aziendali e accesso remoto ampiamente utilizzate Gladinet CentreStack e Triofox — ed è già in fase di sfruttamento attivo. Almeno sette organizzazioni sono state segnalate come compromesse tramite questa falla, tracciata come CVE-2025-30406. La causa principale? Una chiave crittografica hard-coded che lascia i server esposti su internet pericolosamente soggetti ad attacchi di esecuzione di codice in remoto.
Rileva Attacchi Sfruttanti la Vulnerabilità CVE-2025-30406
Ad aprile 2025, il NIST NVD ha registrato oltre 14.500 nuovi CVE, di cui un numero significativo è già stato sfruttato in natura. La rapida militarizzazione delle vulnerabilità sottolinea l’urgente necessità di una rilevazione proattiva delle minacce. Per ridurre efficacemente il rischio, i team di sicurezza devono dare priorità a strategie di identificazione e risposta anticipata che rimangano al passo con le minacce in evoluzione.
Registrati sulla Piattaforma SOC Prime e accedi a un set di regole Sigma curate per affrontare i tentativi di sfruttamento di CVE-2025-30406 insieme a una suite completa di prodotti per l’ingegneria di rilevamento basata sull’AI, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce. Basta premere il Esplora Rilevamenti pulsante qui sotto per approfondire immediatamente uno stack di rilevamento pertinente.
Tutte le regole sono compatibili con oltre 40 tecnologie SIEM, EDR e Data Lake, e mappate su MITRE ATT&CK® per semplificare l’indagine delle minacce. Inoltre, ciascuna regola è arricchita con ampi metadati, inclusi CTI riferimenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni per la triage e altro.
I difensori informatici che cercano contenuti più rilevanti per rilevare attacchi informatici che sfruttano vulnerabilità in tendenza possono accedere all’intera collezione degli algoritmi di rilevamento pertinenti cercando nel Threat Detection Marketplace con il tag “CVE”.
Analisi di CVE-2025-30406
L’8 aprile 2025, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto CVE-2025-30406 al suo catalogo delle vulnerabilità conosciute come sfruttate, confermando lo sfruttamento in corso in natura. Osservato per la prima volta come zero-day a marzo 2025, la natura esatta e l’ambito degli attacchi rimangono poco chiari. La vulnerabilità è stata inizialmente scoperta nel software CentreStack di Gladinet e affrontata nella versione 16.4.10315.56368, rilasciata il 3 aprile 2025. Tuttavia, nuovi risultati di Huntress confermano che la falla interessa anche Triofox, un altro prodotto di Gladinet, fino alla versione 16.4.10317.56372 — ampliando significativamente la superficie di attacco.
Almeno sette organizzazioni sono già cadute vittima di CVE-2025-30406, con i primi segni di intrusione risalenti all’11 aprile 2025. Gli attori delle minacce non hanno perso tempo a sfruttare la vulnerabilità per distribuire script PowerShell codificati che scaricano e caricano librerie DLL malevoli. L’attività post-compromissione include il movimento laterale attraverso le reti e l’installazione di MeshCentral per un accesso remoto persistente. Gli investigatori hanno anche osservato l’uso degli strumenti Impacket tramite PowerShell per eseguire l’enumerazione del sistema e rilasciare payload MeshAgent. Sebbene le tattiche diventino più chiare, la portata completa e gli obiettivi finali di queste campagne rimangono avvolti nell’incertezza.
CVE-2025-30406 ha un punteggio CVSS critico di 9.0 e deriva da una gestione errata delle chiavi crittografiche nelle applicazioni web di Gladinet. In particolare, il software si affida a valori hard-coded o mal protetti di machineKey nel file web.config di IIS, che sono destinati a salvaguardare i dati di ASP.NET ViewState. Se un attaccante riesce ad accedere o indovinare queste chiavi, può creare payload ViewState malevoli che bypassano i controlli di integrità. In determinate configurazioni, ciò apre la porta ad attacchi di deserializzazione, potenzialmente risultando in un’esecuzione di codice remoto sul server.
Dato lo sfruttamento attivo e la natura critica di questa vulnerabilità, si consiglia vivamente a tutti gli utenti di aggiornare le loro installazioni di Gladinet CentreStack e Triofox alle versioni più recenti disponibili. Seguire la guida del fornitore delineata nell’ avviso ufficiale è essenziale per ridurre l’esposizione e rafforzare le difese contro potenziali attacchi. Le organizzazioni che mirano a ottimizzare il rischio del loro assetto di sicurezza informatica possono fare affidamento sulla Piattaforma SOC Prime per la difesa cibernetica collettiva al fine di identificare tempestivamente i tentativi di sfruttamento dei CVE e contrastare proattivamente gli attacchi informatici di qualsiasi scala e sofisticazione.
