أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الثلاثاء ثغرة أمنية خطيرة تؤثر على نظام Gladinet CentreStack إلى كتالوج الثغرات المستغلة فعليًا (KEV)، بعد توفر أدلة على استغلالها النشط في هجمات واقعية.
تفاصيل الثغرة: CVE-2025-30406
-
درجة الخطورة (CVSS): 9.0 – حرجة
-
الوصف: استخدام مفتاح تشفير ثابت (hard-coded) يُمكّن المهاجمين من تنفيذ تعليمات برمجية عن بُعد (RCE)
-
الإصلاح: تم تصحيح الثغرة في إصدار CentreStack v16.4.10315.56368 بتاريخ 3 أبريل 2025
كيف تعمل الثغرة؟
وفقًا لتحذير CISA:
“يحتوي Gladinet CentreStack على ثغرة أمنية ناتجة عن استخدام مفتاح تشفير ثابت في آلية التحقق من سلامة ViewState. استغلال هذه الثغرة يسمح للمهاجمين بتزوير حمولات ViewState لتنفيذ تعليمات برمجية عن بُعد على الخادم.”
بشكل أكثر تحديدًا، فإن الثغرة ناتجة عن تضمين مفتاح machineKey ثابت في ملف IIS web.config، مما يسمح لأي مهاجم يعرف هذا المفتاح بتشفير حمولة ضارة تُستخدم لاحقًا في تسلسل البيانات (deserialization) وتنفيذ التعليمات البرمجية على الخادم (RCE).
هل تم استغلال الثغرة بالفعل؟
نعم، تم استغلال الثغرة فعليًا في مارس 2025، وفقًا لوصفها في قاعدة بيانات CVE.org مما يجعلها ثغرة يوم صفر (Zero-Day) عند اكتشافها.
ورغم عدم توفر تفاصيل دقيقة حول طريقة الاستغلال أو هوية المهاجمين أو أهداف الهجمات، إلا أن شركة Gladinet أكدت تعرض مستخدميها لهجمات واستغلال مباشر للثغرة.
التوصيات الأمنية
شركة Gladinet نشرت بيانًا أكدت فيه حدوث استغلال للثغرة، وحثّت جميع العملاء على:
-
تحديث النظام فورًا إلى الإصدار الأخير (v16.4.10315.56368)
-
وإذا تعذر التحديث، تدوير قيمة المفتاح machineKey كحل مؤقت
