Un defecto de seguridad recientemente revelado en Gladinet Centrestack asimismo afecta su opción de entrada y colaboración remoto Triofox, según Huntress, con siete organizaciones diferentes comprometidas hasta la época.
Rastreado como CVE-2025-30406 (Puntuación CVSS: 9.0), la vulnerabilidad se refiere al uso de una secreto criptográfica codificada que podría exponer a los servidores accesibles a Internet a ataques de ejecución de código remoto.
Se ha abordado en Centrestack traducción 16.4.10315.56368 agresivo el 3 de abril de 2025. Se dice que la vulnerabilidad fue explotada como un día de cero en marzo de 2025, aunque se desconoce la naturaleza exacta de los ataques.
Ahora, según Huntress, la amor asimismo afecta a Gladinet Triofox hasta la traducción 16.4.10317.56372.
“De forma predeterminada, las versiones anteriores del software TrioFox tienen las mismas claves criptográficas codificadas en su archivo de configuración, y pueden ser fácilmente abusados para la ejecución de código remoto”, dijo John Hammond, investigador principal de ciberseguridad en Huntress, en un mensaje.
Los datos de telemetría recopilados de su cojín de socios han revelado que el software Centrestack está instalado en unos 120 puntos finales y que siete organizaciones únicas se vieron afectadas por la explotación de la vulnerabilidad.
La primera señal de compromiso se remonta al 11 de abril de 2025, 16:59:44 UTC. Se ha observado que los atacantes aprovechan la defecto para descargar y resbaladizan una DLL utilizando un script de PowerShell codificado, un enfoque trillado en ataques recientes que utilizan la defecto CrushFTP, seguido de conducir el movimiento pegado e instalar Meshcentral para el entrada remoto.
https://www.youtube.com/watch?v=-zpjygzdujm
Huntress asimismo dijo que los atacantes han sido identificados como ejecutando los comandos de Impacket PowerShell para realizar varios comandos de enumeración e instalar Meshagent. Dicho esto, actualmente se desconoce la escalera exacta y el objetivo final de las campañas.
A la luz de la explotación activa, es esencial que los usuarios de Gladinet Centrestack y Triofox actualicen sus instancias a la última traducción para amparar contra los riesgos potenciales.
