“Triofox y CentreStack de Gladinet son explotados activamente por una vulnerabilidad crítica de ejecución remota de código”
Publicado enNoticias

“Triofox y CentreStack de Gladinet son explotados activamente por una vulnerabilidad crítica de ejecución remota de código”

No hay comentarios

“`html

Vulnerabilidad crítica en Gladinet CentreStack y Triofox: Exposición a ejecución remota de código

Un fallo de seguridad crítico, identificado como CVE-2025-30406 (CVSS 9.0), ha sido descubierto en Gladinet CentreStack y su solución hermana Triofox, utilizada para acceso remoto y colaboración. Según el equipo de Huntress, al menos siete organizaciones han sido comprometidas debido a esta vulnerabilidad. El problema radica en el uso de una clave criptográfica hard-coded (incrustada en el código), lo que permite a atacantes ejecutar código arbitrario en servidores expuestos a internet.

Análisis técnico de CVE-2025-30406

La vulnerabilidad se clasifica como de alta severidad debido a su naturaleza de Remote Code Execution (RCE), combinada con la facilidad de explotación. Los componentes afectados incluyen:

  • Gladinet CentreStack (versiones anteriores a 12.5.1)
  • Triofox (implementaciones basadas en CentreStack)

El vector de ataque explota una clave AES-256 estática utilizada para:

  • Cifrado/descifrado de credenciales
  • Autenticación entre componentes
  • Generación de tokens de sesión

Implicaciones de seguridad

Esta práctica de implementación vulnera principios básicos de criptografía:

  • Falta de rotación de claves: La misma clave se usa en todas las instalaciones
  • Exposición de datos sensibles: Credenciales y tokens pueden ser descifrados
  • Escalación de privilegios: Permite autenticación no autorizada como administrador

Huntress ha observado ataques activos que combinan esta vulnerabilidad con técnicas de:

  • Inyección de comandos a través de parámetros HTTP
  • Despliegue de web shells para persistencia
  • Movimiento lateral mediante Pass-the-Hash

Medidas de mitigación

Las organizaciones afectadas deben:

  • Actualizar inmediatamente a CentreStack 12.5.1 o superior
  • Revocar y regenerar todas las credenciales almacenadas
  • Auditar logs en busca de actividades sospechosas (búsqueda de invocaciones a cmd.exe o powershell.exe)
  • Implementar reglas IDS/IPS para detectar patrones de explotación conocidos

Para entornos donde la actualización no sea posible, se recomienda:

  • Aislar los servidores afectados detrás de un WAF
  • Implementar segmentación de red estricta
  • Monitorear conexiones salientes inusuales

Lecciones aprendidas

Este caso resalta errores recurrentes en desarrollo seguro:

  • Uso de constantes criptográficas en lugar de sistemas de gestión de claves
  • Falta de auditorías de código para detectar prácticas inseguras
  • Subestimación del riesgo en componentes “internos”

Para más detalles técnicos sobre los ataques observados, consultar el reporte completo en Fuente original.

“`

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta