Hackers exploraram uma vulnerabilidade no software de compartilhamento de arquivos seguro Gladinet CentreStack como um zero-day desde março para invadir servidores de armazenamento.
O Gladinet CentreStack é uma plataforma de compartilhamento e acesso a arquivos empresarial que transforma servidores de arquivos no local (como servidores Windows com compartilhamentos SMB) em sistemas de arquivos seguros e semelhantes à nuvem, suportando acesso remoto a compartilhamentos de arquivos internos, sincronização e compartilhamento de arquivos, implantações multi-tenant e integração com Active Directory.
A empresa afirma que o produto é utilizado por milhares de empresas em 49 países, incluindo empresas com servidores de arquivos baseados em Windows, MSPs que hospedam serviços de arquivos para vários clientes e várias organizações que precisam de acesso semelhante ao da nuvem sem migração para a nuvem.
A falha, rastreada como
CVE-2025-30406
, é uma vulnerabilidade de deserialização impactando as versões do Gladinet CentreStack até 16.1.10296.56315.
A exploração no mundo real foi observada desde março de 2025.
O problema decorre do uso de uma machineKey codificada na configuração do portal CentreStack (web.config).
Se um atacante conhecer essa chave, ele pode criar um payload útil serializada maliciosa que o servidor confiará e executará.
De acordo com o aviso do fornecedor, a chave inadequadamente protegida assegura o ViewState do ASP.NET, que, se forjado, pode permitir que os atacantes ignorem as verificações de integridade, injetem objetos serializados arbitrários e, eventualmente, executem código no servidor.
O Gladinet lançou uma correção de segurança para o
CVE-2025-30406
em 3 de abril de 2025, com as versões 16.4.10315.56368, 16.3.4763.56357 (Windows) e 15.12.434 (macOS).
O fornecedor recomenda que todos os usuários atualizem para a versão mais recente para suas plataformas o mais rápido possível, ou girem manualmente a 'machineKey' tanto em 'root\web.config' quanto em 'portal\web.config'.
"Exploração foi observada no mundo real. Recomendamos fortemente a atualização para a versão corrigida, que melhora a gestão de chaves e mitiga a exposição", aconselha o Gladinet.
Para clientes que não podem atualizar imediatamente, girar os valores da machineKey é uma mitigação intermediária recomendada.
Aqueles que realizarem a rotação da machineKey em seu ambiente devem garantir consistência entre os nós em implantações multi-servidor para evitar problemas operacionais e reiniciar o IIS após as alterações para que as mitigações se apliquem.
A CISA adicionou o
CVE-2025-30406
ao seu catálogo de Vulnerabilidade Explorada Conhecida, mas não indicou que foi explorado por gangues de ransomware.
No entanto, dada a natureza do produto, é provável que esteja sendo explorado para ataques de roubo de dados.
Esses tipos de falhas têm sido historicamente alvo do gangue de ransomware Clop, que possui expertise em explorar sistemas de compartilhamento de arquivos.
Ataques anteriores de roubo de dados do Clop visaram as plataformas de transferência de arquivos seguras Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U e Accelion FTA.
A agência dos EUA deu às organizações estaduais e federais impactadas até 29 de abril de 2025, para aplicar atualizações de segurança e mitigações ou parar de usar o produto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...