La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el martes una falla crítica de seguridad que impacta el centro de Gladinet Centrestack a su conocido catálogo de vulnerabilidades explotadas (KEV), citando evidencia de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2025-30406 (Puntuación CVSS: 9.0), se refiere a un caso de una clave criptográfica codificada que podría ser abusada para lograr la ejecución de código remoto. Se ha abordado en la versión 16.4.10315.56368 lanzado el 3 de abril de 2025.
«Gladinet Centrestack contiene un uso de la vulnerabilidad de la clave criptográfica codificada en la forma en que la aplicación gestiona las claves utilizadas para la verificación de integridad de ViewState», dijo CISA. «La explotación exitosa permite a un atacante forjar cargas útiles de ViewState para la deserialización del lado del servidor, lo que permite la ejecución de código remoto».
Específicamente, la deficiencia se basa en el uso de un código duro «MachineKey» en el archivo IIS web.config, que permite a los actores de amenaza con conocimiento de «MachineKey» para serializar una carga útil para la deserialización posterior del lado del servidor para lograr la ejecución del código remoto.
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad, la identidad de los actores de amenaza que lo explotan y quién puede ser el objetivo de estos ataques. Dicho esto, una descripción del defecto de seguridad en CVE.org establece que CVE-2025-30406 fue explotada en la naturaleza en marzo de 2025, lo que indica su uso como un día cero.
Gladinet, en un aviso, también ha reconocido que «se ha observado la explotación en la naturaleza», instando a los clientes a aplicar las soluciones lo antes posible. Si el parche inmediato no es una opción, se recomienda rotar el valor de la ametralladora como una mitigación temporal.