Huntress 记录了 Gladinet 关键漏洞的野外利用情况

HackerNews 编译，转载请注明出处： Huntress安全研究人员记录了针对Gladinet CentreStack和Triofox软件关键漏洞的活跃利用情况，其中默认的加密配置导致针对七家组织的攻击，并在大约120个端点上引发了异常活动。 该漏洞被标记为CVE-2025-30406，于4月初被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞（KEV）目录，并且拥有9/10的CVSS严重性评分。 该漏洞源自CentreStack和Triofox配置文件中默认嵌入的硬编码加密密钥，这种错误配置使服务器暴露在远程代码执行攻击之下。 在这种情况下，利用默认密钥可以让攻击者绕过ASPX ViewState保护，并以IIS应用程序池用户的身份执行代码，还可能升级为完全控制整个系统。 Huntress表示，其安全运营中心在4月11日标记了这一异常情况，当时一个内部检测器（专门用于捕捉零日漏洞利用）标记了来自IIS工作进程不规则子进程的异常传出连接。 该公司称，这一初始检测（由源自PowerShell的可疑进程树突出显示）引发了一系列警报，因为恶意软件猎手从失败的ViewState验证和其他在Windows事件日志中可见的指标中拼凑证据。 该公司称，这些漏洞利用遵循了一个众所周知的剧本。一旦确定了易受攻击的服务器，攻击者就会发出精心设计的PowerShell命令来触发漏洞，最终导致远程代码执行。 在一次事件中，Huntress研究人员表示，他们追踪到了一个涉及编码的PowerShell指令的命令序列，该指令旨在下载并执行一个DLL，这种手法在最近针对CrushFTP软件漏洞的攻击中也曾出现。 “根据Shodan的数据显示，目前有几百台易受攻击的服务器暴露在公共互联网上。虽然这个数字相对较小，但立即被攻陷的风险仍然很严重，”Huntress警告说。 Huntress表示，他们观察到攻击者在网络中横向移动，利用MeshCentral等工具维持远程访问。该公司称，黑客还试图添加新的用户账户，执行标准的枚举命令，并使用默认的Impacket脚本。 Gladinet已经发布了补丁，并承认了远程代码执行的风险。 “我们可以确认，Gladinet CentreStack和Triofox的补丁在我们测试的概念验证中是有效的，能够阻止漏洞利用，”Huntress表示。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文