CVE-2025-30406 탐지: 활발한 악용 중인 Gladinet CentreStack & Triofox의 심각한 RCE 취약점

광범위하게 사용되는 Gladinet CentreStack 및 Triofox 엔터프라이즈 파일 공유 및 원격 액세스 플랫폼에서 치명적인 취약점이 발견되었으며, 이미 활발하게 악용되고 있습니다. 적어도 7개의 조직이 CVE-2025-30406으로 추적되는 이 결함을 통해 손상된 것으로 보고되었습니다. 근본 원인은? 인터넷에 노출된 서버를 원격 코드 실행 공격에 취약하게 만드는 하드코딩된 암호화 키입니다.

CVE-2025-30406 취약점을 활용한 공격 탐지

2025년 4월 기준으로 NIST NVD는 14,500개 이상의 새로운 CVE를 기록했으며, 그 중 상당수가 이미 실제 환경에서 악용되었습니다. 취약점의 빠른 무기화는 사전적 위협 탐지의 긴급한 필요성을 강조합니다. 효과적으로 위험을 줄이기 위해 보안 팀은 진화하는 위협을 앞서가는 조기 식별 및 대응 전략을 우선시해야 합니다.

SOC Prime 플랫폼에 등록하여 CVE-2025-30406 악용 시도를 다루는 큐레이션된 Sigma 규칙 세트와 AI 기반 탐지 엔지니어링, 자동화된 위협 검색 및 고급 위협 탐지를 위한 완전한 제품군에 접근하십시오. 그냥 탐지 탐색 버튼을 눌러 관련 탐지 스택으로 즉시 탐색하세요.

탐지 탐색

모든 규칙은 40개 이상의 SIEM, EDR, 및 데이터 레이크 기술과 호환되며, MITRE ATT&CK® 에 매핑되어 위협 조사를 간소화합니다. 또한 각 규칙은 광범위한 메타데이터로 보강되어 있으며, CTI 참조 정보, 공격 시간표, 감사 구성, 대응 추천 등이 포함됩니다.

트렌딩 취약점을 무기화한 사이버 공격 탐지를 위한 더 관련성 높은 콘텐츠를 찾는 사이버 방어자들은 ‘CVE‘ 태그를 사용하여 Threat Detection Marketplace에서 관련 탐지 알고리즘의 전체 컬렉션에 접근할 수 있습니다.

CVE-2025-30406 분석

2025년 4월 8일, 미국 사이버 보안 및 인프라 보안국(CISA)은 CVE-2025-30406을 이미 악용된 취약점 카탈로그에 추가하며 실제 환경에서의 지속적인 악용을 확인했습니다. 2025년 3월에 제로 데이로 처음 발견된 이 공격의 정확한 성격과 범위는 아직 불분명합니다. 이 취약점은 처음에는 Gladinet의 CentreStack 소프트웨어에서 발견되었으며, 2025년 4월 3일에 출시된 16.4.10315.56368 버전에서 해결되었습니다. 그러나 Huntress의 새로운 발견은 in version 16.4.10315.56368, released on April 3, 2025. However, new findings from Huntress Triofox라는 또 다른 Gladinet 제품에도 이 결함이 버전 16.4.10317.56372까지 영향을 미친다는 것을 확인하여 공격 표면을 상당히 확장합니다. that the flaw also affects Triofox, another Gladinet product, up to version 16.4.10317.56372—significantly widening the attack surface. 

최소한 7개의 조직이 이미 CVE-2025-30406에 피해를 입었으며, 침입의 최초 징후는 2025년 4월 11일로 추적됩니다. 위협 행위자들은 취약점을 악용하여 암호화된 PowerShell 스크립트를 배포하였고, 이는 악성 DLL을 다운로드하고 사이드로드했습니다. 침해 후 활동으로는 네트워크 간 횡적 이동 및 메쉬 중앙의 설치를 통한 영구 원격 접속이 포함됩니다. 조사자들은 시스템 열거 및 MeshAgent 페이로드 배포를 수행하기 위해 PowerShell을 통한 Impacket 툴링 사용을 관찰했습니다. 전술은 점점 명확해지고 있지만, 캠페인의 전체 범위와 궁극적인 목표는 여전히 불투명합니다.

CVE-2025-30406는 9.0의 치명적인 CVSS 점수를 가지며 Gladinet의 웹 애플리케이션에서의 결함 있는 암호화 키 관리에서 비롯됩니다. 특히, 이 소프트웨어는 하드코딩되거나 잘못 보호된 machineKey 를 IIS web.config, 에서 사용하여 ASP.NET ViewState 데이터를 보호하려고 합니다. 공격자가 이러한 키에 접근하거나 유추할 수 있는 경우에는 무결성 검사를 우회하는 악의적인 ViewState 페이로드를 작성할 수 있습니다. 특정 구성에서는 이로 인해 역직렬화 공격이 발생할 수 있으며, 이는 서버에 대한 원격 코드 실행으로 이어질 수 있습니다.

이 취약성의 활발한 악용과 치명적인 특성을 고려할 때, 모든 사용자는 최신 버전으로 그들이 사용하는 Gladinet CentreStack 및 Triofox 설치를 업데이트해야 합니다. 공식 자문서를 따라 노출을 줄이고 잠재적 공격에 대한 방어를 강화하는 것이 필수적입니다. 사이버 보안 태세를 위험 최적화하려는 조직은 SOC Prime 플랫폼 에 의존하여 CVE 악용 시도를 적시에 식별하고 모든 규모와 복잡성의 사이버 공격을 선제적으로 좌절시킬 수 있습니다.