据 Huntress 称,Gladinet CentreStack 最近披露的一个安全漏洞也影响到了其 Triofox 远程访问和协作解决方案,截至目前已有七个不同的组织遭到了攻击。
该漏洞被追踪编号为 CVE-2025-30406(通用漏洞评分系统(CVSS)评分为 9.0),它指的是使用了硬编码的加密密钥,这可能会使可通过互联网访问的服务器面临远程代码执行攻击的风险。
Gladinet 公司已于 2025 年 4 月 3 日发布的 CentreStack 16.4.10315.56368 版本中修复了该漏洞。据说该漏洞在 2025 年 3 月时就被作为零日漏洞利用了,不过攻击的确切性质尚不清楚。
现在,根据 Huntress 的说法,这一漏洞也影响到了 Gladinet Triofox 直至 16.4.10317.56372 版本。
Huntress 的首席网络安全研究员 John Hammond 在一份报告中表示:“默认情况下,Triofox 软件的早期版本在其配置文件中使用了相同的硬编码加密密钥,很容易被利用来进行远程代码执行。”
从其合作伙伴基础收集到的遥测数据显示,CentreStack 软件安装在大约 120 个终端上,并且有七个不同的组织因该漏洞被利用而受到了影响。
最早的被攻击迹象可追溯到 2025 年 4 月 11 日 16:59:44 UTC。据观察,攻击者利用该漏洞通过一个编码的 PowerShell 脚本下载并侧加载一个动态链接库(DLL),这种方式在最近利用 CrushFTP 漏洞的攻击中也出现过,随后攻击者进行了横向移动,并安装了 MeshCentral 以实现远程访问。
Huntress 还表示,已确定攻击者运行了 Impacket PowerShell 命令来执行各种枚举命令并安装 MeshAgent。尽管如此,这些攻击活动的确切规模和最终目标目前尚不清楚。
鉴于该漏洞正在被积极利用,Gladinet CentreStack 和 Triofox 的用户务必将其软件实例更新到最新版本,以防范潜在风险。
发表评论
您还未登录,请先登录。
登录