4月9日,美国网络安全和基础设施安全局 (CISA)将 CVE-2025-30406 添加到其已知可利用漏洞目录中。
自3月份以来,托管服务提供商 (MSP) 广泛使用的文件共享平台中的一个严重零日漏洞一直受到攻击。该漏洞编号为 CVE-2025-30406,是 Gladinet 旗下企业文件共享平台 CentreStack 中的一个反序列化漏洞。根据 CVE.org 和国家漏洞数据库 (NVD) 的记录,该 CentreStack 漏洞于4月3日公开披露,3月份以来一直处于被利用状态。Gladinet 在其安全公告中还表示,已观察到有人在野利用该漏洞。
Gladinet 的安全公告指出,该漏洞源于“IIS web.config 文件中一个硬编码或保护不当的 machineKey,该文件负责保护 ASP.NET ViewState 数据”。如果威胁行为者获取或猜测到加密密钥,他们就可以制作能够通过完整性检查的恶意 ViewState 负载。
CVE.org 和 NVD 均表示,该漏洞是由于“使用硬编码的 machineKey”造成的。Picus Security 联合创始人兼 Picus Labs 副总裁 Süleyman Özarslan 表示,这表明密钥在某种程度上已被泄露。Özarslan 在一封电子邮件中表示:“如果威胁行为者获得此密钥,他们就可以制作通过完整性检查的恶意负载,从而导致服务器端反序列化,并最终导致远程代码执行 (RCE)。
或许更重要的是,CentreStack 被 MSP 和解决方案提供商广泛使用,这可能会危及许多下游客户。攻陷 MSP 的 CentreStack 可能会让威胁行为者获得访问客户网络和数据的特权。
Gladinet 是一家位于佛罗里达州博卡拉顿的私营软件公司。根据该公司网站,CentreStack 被 1,000 多家 IT 解决方案提供商用作安全、无需 VPN 的文件共享平台。近年来,威胁行为者瞄准了托管服务提供商 (MSP) 广泛使用的工具和平台,以危害其客户。例如,2024 年,网络犯罪分子利用 ConnectWise ScreenConnect 软件中的关键漏洞,进行了大规模攻击活动,向下游客户发送了勒索软件。
Gladinet 在其安全公告中敦促用户升级到 16.4.10315.56368 版本,该版本会为每个安装自动生成唯一的 machineKey。公告中指出:对于无法立即更新的用户,建议更换 machineKey 值作为临时缓解措施。
参考链接:
https://www.darkreading.com/vulnerabilities-threats/zero-day-centrestack-platform-under-attack
3.
Windows 通用日志文件系统驱动程序权限提升漏洞(CVE-2025-29824)
4月8日,微软透露,影响 Windows 通用日志文件系统 (CLFS) 的一个现已修补的安全漏洞被利用作为针对少数目标的零日勒索软件攻击。微软表示,RansomEXX 勒索软件团伙一直在利用 Windows 通用日志文件系统中的高严重性零日漏洞来获取受害者系统的系统权限。
该漏洞编号为 CVE-2025-29824 ,已于本月的补丁日进行修补,且仅在有限数量的攻击中被利用。CVE-2025-29824 是由于存在使用后释放漏洞而导致的,该漏洞允许具有低权限的本地攻击者在不需要用户交互的低复杂度攻击中获得系统权限。
虽然该公司已经针对受影响的 Windows 版本发布了安全更新,但它推迟了针对运行 Windows 10 LTSB 2015 的系统的补丁发布,并表示将尽快发布。
微软透露:“目标包括美国信息技术 (IT) 和房地产行业的组织、委内瑞拉的金融行业、西班牙的软件公司以及沙特阿拉伯的零售业。”即使存在漏洞,运行 Windows 11 版本 24H2 的客户也不会受到观察到的漏洞的影响。敦促客户尽快应用这些更新。
微软将这些攻击与 RansomEXX 勒索软件团伙联系起来,该团伙被追踪为 Storm-2460。攻击者首先在受感染的系统上安装了 PipeMagic 后门恶意软件,该恶意软件用于在加密文件后部署 CVE-2025-29824 漏洞、勒索软件负载和 !_READ_ME_REXX2_!.txt 勒索信。
建议管理员和家庭用户尽快测试和部署微软官方发布的补丁,以避免已知漏洞的攻击。
