Gladinet CentreStack与Triofox高危远程代码执行漏洞分析(CVE-2025-30406)

本文详细分析了Gladinet CentreStack和Triofox中存在的9.0分高危漏洞(CVE-2025-30406),涉及硬编码加密密钥导致的远程代码执行风险,包含技术细节、攻击路径及缓解措施。

摘要

安全研究人员发现Gladinet CentreStack和Triofox存在CVSS评分9.0的关键漏洞(CVE-2025-30406),该漏洞源于硬编码加密密钥问题,可导致远程代码执行。证据表明该漏洞在2025年3月已被作为零日漏洞利用。

受影响系统

  • Gladinet Triofox(远程访问解决方案):16.4.10317.56372及之前版本
  • Gladinet CentreStack:16.4.10315.56368及之前版本

技术细节/攻击概述

硬编码加密密钥

漏洞源于web.config文件中硬编码的machineKey,该密钥用于ASP.NET应用中ViewState的完整性验证。ViewState是维护网页回发状态的重要机制。

ViewState反序列化攻击

掌握machineKey的攻击者可构造恶意ViewState载荷。当服务器反序列化这些载荷时,可执行任意代码。这是ASP.NET应用中ViewState未正确保护的典型攻击向量。

配置文件路径

存在漏洞的web.config文件通常位于:

1
2

C:\Program Files (x86)\Gladinet Cloud Enterprise\root\web.config
C:\Program Files (x86)\Gladinet Cloud Enterprise\portal\web.config

Triofox的类似路径:

1
2

C:\Program Files (x86)\Triofox\root\web.config
C:\Program Files (x86)\Triofox\portal\web.config

攻击活动

自2025年3月起,攻击者已利用该漏洞通过编码PowerShell脚本下载并旁加载DLL。攻击手法与近期CrushFTP漏洞利用相似,攻击者还使用Impacket进行横向移动,并安装MeshCentral实现远程控制。

缓解措施

  1. 补丁升级:更新至CentreStack 16.4.10315.56368和Triofox 16.4.10317.56372版本
  2. 配置修改:若无法立即升级,需修改所有web.config中的machineKey值
  3. 监控措施
    • 监测异常PowerShell执行行为
    • 检查可疑IP的网络连接
    • 查看Windows应用事件日志中的ViewState错误(事件ID 1316)
    • 监控IIS工作进程的异常外联

参考链接

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次