Cacat keamanan yang baru -baru ini diungkapkan di Gladinet Centrestack juga berdampak pada Triofox Remote Access dan solusi kolaborasi, menurut Huntress, dengan tujuh organisasi berbeda dikompromikan hingga saat ini.
Dilacak sebagai CVE-2025-30406 (Skor CVSS: 9.0), kerentanannya mengacu pada penggunaan kunci kriptografi yang dikodekan keras yang dapat mengekspos server yang dapat diakses internet ke serangan eksekusi kode jarak jauh.
Ini telah ditangani dalam Centrestack Version 16.4.10315.56368 yang dirilis pada 3 April 2025. Kerentanan tersebut dikatakan telah dieksploitasi sebagai nol hari pada Maret 2025, meskipun sifat serangan yang tepat tidak diketahui.
Sekarang, menurut Huntress, kelemahan juga memengaruhi Gladinet Triofox hingga versi 16.4.10317.56372.
“Secara default, versi sebelumnya dari perangkat lunak Triofox memiliki kunci kriptografi hardcoded yang sama dalam file konfigurasi mereka, dan dapat dengan mudah disalahgunakan untuk eksekusi kode jarak jauh,” John Hammond, peneliti keamanan siber utama di Huntress, mengatakan dalam sebuah laporan.
Data telemetri yang dikumpulkan dari pangkalan mitranya telah mengungkapkan bahwa perangkat lunak Centrestack diinstal pada sekitar 120 titik akhir dan bahwa tujuh organisasi unik dipengaruhi oleh eksploitasi kerentanan.
Tanda kompromi paling awal tanggal kembali ke 11 April 2025, 16:59:44 UTC. Para penyerang telah diamati memanfaatkan cacat untuk mengunduh dan memuat DLL menggunakan skrip PowerShell yang dikodekan, sebuah pendekatan yang terlihat dalam serangan baru -baru ini menggunakan cacat crushftp, diikuti dengan melakukan gerakan lateral dan memasang meshcentral untuk akses jarak jauh.
https://www.youtube.com/watch?v=-zpjygzdujm
Huntress juga mengatakan para penyerang telah diidentifikasi sebagai menjalankan perintah powershell impacket untuk melakukan berbagai perintah enumerasi dan menginstal meshagent. Yang mengatakan, skala pasti dan tujuan akhir kampanye saat ini tidak diketahui.
Mengingat eksploitasi aktif, penting bagi pengguna Gladinet Centrestack dan Triofox memperbarui contoh mereka ke versi terbaru untuk melindungi terhadap risiko potensial.
