Gladinet漏洞CVE-2025-30406遭在野利用

鹏鹏同学 黑猫安全 2025-04-16 11:21

紧急安全通告

网络安全公司Huntress发出警告，Gladinet旗下CentreStack和Triofox软件中存在的关键反序列化漏洞（CVE-2025-30406，CVSS 9.0分）正被黑客组织大规模利用。该漏洞源于系统使用硬编码的machineKey值，攻击者可借此实现远程代码执行（RCE）。  

漏洞详情

核心问题：IIS web.config文件中存在硬编码的machineKey，导致ASP.NET ViewState反序列化攻击  

攻击后果：  

✓ 以IISAPPPOOL\portaluser身份执行任意代码  

✓ 可轻松提权至SYSTEM权限  

✓ 已观测到攻击者部署MeshCentral远程控制工具  

✓ 与近期CrushFTP漏洞攻击手法存在关联  

影响版本：2025年4月3日前发布的CentreStack和Triofox版本  

暴露范围：全球约120台服务器确认存在风险  

时间线  

▸ 2025年3月：首次发现漏洞在野利用  

▸ 4月3日：厂商发布修复版本16.4.10315.56368  

▸ 4月11日：Huntress确认至少7家机构遭入侵  

▸ 4月：CISA将漏洞列入已知被利用漏洞(KEV)目录  

修复建议  

1. 立即升级：所有用户必须升级至16.4.10315.56368或更高版本  

2. 临时缓解（若无法立即升级）：  

– 手动轮换web.config中的machineKey值  

– 同时修改根配置和门户配置  

1. 威胁检测：  

– 使用Huntress提供的检测工具和Sigma规则  

– 重点排查PowerShell异常命令及MeshAgent进程  

技术深度  

“该漏洞允许攻击者滥用ASPX ViewState机制，”Huntress报告指出，”只要服务器使用默认密钥且暴露在互联网，就面临即时威胁。漏洞利用无需前置条件，仅需知晓默认密钥即可。”研究人员已开发出针对Triofox的概念验证(PoC)漏洞利用程序，但为避免助长攻击暂未公开。  

事件响应  

• 已观测到攻击者进行横向移动，部署Impacket工具链  

• 受影响企业应全面检查：  

✓ 异常DLL下载行为  

✓ Centre.exe进程执行记录  

✓ 可疑的网络连接  

Gladinet官方确认漏洞正在被积极利用，建议所有用户参照https://www.gladinet.com/security 获取最新防护指南。