Detecção do CVE-2025-30406: Vulnerabilidade Crítica de Execução Remota de Código no Gladinet CentreStack & Triofox em Exploração Ativa
Índice:
Uma vulnerabilidade crítica nas amplamente utilizadas plataformas enterprise de compartilhamento de arquivos e acesso remoto, Gladinet CentreStack e Triofox, surgiu — e já está sendo explorada ativamente. Pelo menos sete organizações foram comprometidas através desta falha, identificada como CVE-2025-30406. A causa raiz? Uma chave criptográfica codificada que deixa os servidores voltados para a internet perigosamente expostos a ataques de execução remota de código.
Detectar ataques aproveitando a vulnerabilidade CVE-2025-30406
Em abril de 2025, o NIST NVD registrou mais de 14.500 novos CVEs, com um número significativo já explorado em campo. A rápida transformação das vulnerabilidades em armas ressalta a necessidade urgente de detecção proativa de ameaças. Para reduzir efetivamente o risco, as equipes de segurança devem priorizar estratégias de identificação e resposta antecipadas que estejam à frente das ameaças em evolução.
Registre-se na Plataforma SOC Prime e acesse um conjunto de regras Sigma selecionadas que abordam tentativas de exploração do CVE-2025-30406 junto com um conjunto completo de produtos para engenharia de detecção com IA, caça a ameaças automatizada e detecção avançada de ameaças. Basta clicar no Explorar Detecções botão abaixo para aprofundar imediatamente em um stack de detecção relevante.
Todas as regras são compatíveis com mais de 40 tecnologias SIEM, EDR e Data Lake, e mapeadas para MITRE ATT&CK® para agilizar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados extensivos, incluindo CTI referências, cronogramas de ataques, configurações de auditoria, recomendações de triagem e mais.
Defensores cibernéticos em busca de conteúdo mais relevante para detectar ataques cibernéticos que utilizam vulnerabilidades em alta podem acessar toda a coleção dos algoritmos de detecção relevantes pesquisando o Mercado de Detecção de Ameaças com a tag “CVE“.
Análise do CVE-2025-30406
Em 8 de abril de 2025, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou o CVE-2025-30406 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, confirmando a exploração em curso no ambiente. Observada pela primeira vez como um zero-day em março de 2025, a natureza exata e o escopo dos ataques permanecem incertos. A vulnerabilidade foi inicialmente descoberta no software CentreStack da Gladinet e corrigida na versão 16.4.10315.56368, lançada em 3 de abril de 2025. No entanto, novas descobertas da Huntress confirmam que a falha também afeta o Triofox, outro produto da Gladinet, até a versão 16.4.10317.56372 — ampliando significativamente a superfície de ataque.
Pelo menos sete organizações já foram vítimas do CVE-2025-30406, com os primeiros sinais de intrusão rastreados para 11 de abril de 2025. Atores de ameaças não perderam tempo, explorando a vulnerabilidade para implantar scripts PowerShell codificados que baixam e carregam DLLs maliciosas. A atividade pós-comprometimento inclui movimento lateral em redes e a instalação do MeshCentral para acesso remoto persistente. Os investigadores também observaram o uso de ferramentas Impacket via PowerShell para realizar enumeração de sistemas e lançar cargas do MeshAgent. Embora as táticas estejam se tornando mais claras, a extensão total e os objetivos finais dessas campanhas permanecem envoltos em incertezas.
O CVE-2025-30406 possui uma pontuação CVSS crítica de 9,0 e resulta de uma falha na gestão de chaves criptográficas nas aplicações web da Gladinet. Especificamente, o software depende de valores de machineKey codificados ou mal protegidos no web.config do IIS, que são destinados a proteger os dados do ASP.NET ViewState. Se um atacante consegue acessar ou adivinhar essas chaves, ele pode criar cargas maliciosas de ViewState que burlam as verificações de integridade. Em certas configurações, isso abre a porta para ataques de desserialização, potencialmente resultando em execução remota de código no servidor.
Dada a exploração ativa e a natureza crítica desta vulnerabilidade, todos os usuários são fortemente aconselhados a atualizar suas instalações do Gladinet CentreStack e Triofox para as versões mais recentes disponíveis. Seguir a orientação do fornecedor delineada no aviso oficial é essencial para reduzir a exposição e fortalecer as defesas contra potenciais ataques. Organizações que buscam otimizar o risco em sua postura de cibersegurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva para identificar tempestivamente tentativas de exploração de CVE e prevenir proativamente ataques cibernéticos de qualquer escala e sofisticação.
