تفاصيل الثغرة الأمنية

تحمل الثغرة رقم التعريف CVE-2025-30406 وتم تصنيفها بدرجة 9.0 على مقياس CVSS، مما يجعلها من الثغرات ذات الخطورة العالية.
تتمثل الثغرة في استخدام مفتاح تشفير ثابت (hardcoded cryptographic key)، ما يُعرض الخوادم المتصلة بالإنترنت لهجمات تنفيذ التعليمات البرمجية عن بُعد (RCE).

 تم إصلاح الثغرة في CentreStack الإصدار 16.4.10315.56368 الصادر في 3 أبريل 2025. ويُعتقد أن الثغرة استُغلت منذ شهر مارس كـ ثغرة يوم صفر (Zero-Day)، رغم أن طبيعة الهجمات الكاملة لا تزال غير معروفة.

 الثغرة تطال Triofox أيضًا

أكدت Huntress أن الإصدارات حتى 16.4.10317.56372 من Triofox معرضة للخطر، إذ تحتوي على نفس مفتاح التشفير الثابت في ملفات الإعدادات، ما يتيح للمهاجمين تنفيذ تعليمات عن بُعد بسهولة.

صرّح جون هاموند، الباحث الأمني الرئيسي في Huntress:

“الإصدارات القديمة من Triofox تتضمن مفاتيح تشفير ثابتة في ملفات التكوين، ويمكن استغلالها بسهولة في تنفيذ تعليمات برمجية عن بُعد.”

أدوات وتقنيات الهجوم

تشير بيانات التليمتري التي جمعتها Huntress إلى أن برنامج CentreStack تم تثبيته على حوالي 120 نقطة نهاية (Endpoints)، وتم التأكد من اختراق سبع منظمات بالفعل.
 تم تسجيل أول مؤشر اختراق في 11 أبريل 2025، الساعة 16:59:44 بالتوقيت العالمي.

المهاجمون استغلوا الثغرة عبر:

• تحميل وتفعيل DLL ضار باستخدام PowerShell مُشفّر.

• التحرك الجانبي داخل الشبكة (Lateral Movement).

• تثبيت برنامج MeshCentral للوصول عن بُعد.

• تنفيذ أوامر Impacket PowerShell لجمع المعلومات وتثبيت أدوات التحكم مثل MeshAgent.

هذه التقنيات تُشبه إلى حد كبير تلك التي استخدمت في استغلال ثغرة CrushFTP مؤخرًا.

 التوصيات الأمنية العاجلة

نظرًا لكون الثغرة قيد الاستغلال النشط، توصي Huntress بشدة:

• بتحديث كافة إصدارات Gladinet CentreStack وTriofox إلى النسخة الأحدث فورًا.

• مراقبة الشبكات لاكتشاف أي مؤشرات اختراق محتملة (IOCs).

• مراجعة إعدادات التشفير وتحديث المفاتيح الافتراضية.

]]> https://ccforrs.com/%d8%ab%d8%ba%d8%b1%d8%a9-%d8%ad%d8%b1%d8%ac%d8%a9-%d9%81%d9%8a-%d8%a8%d8%b1%d8%a7%d9%85%d8%ac-centrestack-%d9%88triofox-%d8%aa%d9%8f%d9%85%d9%83%d9%91%d9%86-%d9%85%d9%86-%d8%aa%d9%86%d9%81%d9%8a%d8%b0/feed/ 0 https://ccforrs.com/cisa-%d8%aa%d8%ad%d8%b0%d8%b1-%d9%85%d9%86-%d8%ab%d8%ba%d8%b1%d8%a9-%d8%ae%d8%b7%d9%8a%d8%b1%d8%a9-%d9%81%d9%8a-centrestack-%d8%aa%d8%aa%d9%8a%d8%ad-%d8%aa%d9%86%d9%81%d9%8a%d8%b0-%d8%aa%d8%b9%d9%84/ https://ccforrs.com/cisa-%d8%aa%d8%ad%d8%b0%d8%b1-%d9%85%d9%86-%d8%ab%d8%ba%d8%b1%d8%a9-%d8%ae%d8%b7%d9%8a%d8%b1%d8%a9-%d9%81%d9%8a-centrestack-%d8%aa%d8%aa%d9%8a%d8%ad-%d8%aa%d9%86%d9%81%d9%8a%d8%b0-%d8%aa%d8%b9%d9%84/#respond Sat, 12 Apr 2025 10:05:38 +0000 https://ccforrs.com/?p=11665 أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الثلاثاء ثغرة أمنية خطيرة تؤثر على نظام Gladinet CentreStack إلى كتالوج الثغرات المستغلة فعليًا (KEV)، بعد توفر أدلة على استغلالها النشط في هجمات واقعية.

 تفاصيل الثغرة: CVE-2025-30406

• درجة الخطورة (CVSS): 9.0 – حرجة

• الوصف: استخدام مفتاح تشفير ثابت (hard-coded) يُمكّن المهاجمين من تنفيذ تعليمات برمجية عن بُعد (RCE)

• الإصلاح: تم تصحيح الثغرة في إصدار CentreStack v16.4.10315.56368 بتاريخ 3 أبريل 2025

 كيف تعمل الثغرة؟

وفقًا لتحذير CISA:

“يحتوي Gladinet CentreStack على ثغرة أمنية ناتجة عن استخدام مفتاح تشفير ثابت في آلية التحقق من سلامة ViewState. استغلال هذه الثغرة يسمح للمهاجمين بتزوير حمولات ViewState لتنفيذ تعليمات برمجية عن بُعد على الخادم.”

بشكل أكثر تحديدًا، فإن الثغرة ناتجة عن تضمين مفتاح machineKey ثابت في ملف IIS web.config، مما يسمح لأي مهاجم يعرف هذا المفتاح بتشفير حمولة ضارة تُستخدم لاحقًا في تسلسل البيانات (deserialization) وتنفيذ التعليمات البرمجية على الخادم (RCE).

 هل تم استغلال الثغرة بالفعل؟

نعم، تم استغلال الثغرة فعليًا في مارس 2025، وفقًا لوصفها في قاعدة بيانات CVE.org مما يجعلها ثغرة يوم صفر (Zero-Day) عند اكتشافها.

ورغم عدم توفر تفاصيل دقيقة حول طريقة الاستغلال أو هوية المهاجمين أو أهداف الهجمات، إلا أن شركة Gladinet أكدت تعرض مستخدميها لهجمات واستغلال مباشر للثغرة.

 التوصيات الأمنية

شركة Gladinet نشرت بيانًا أكدت فيه حدوث استغلال للثغرة، وحثّت جميع العملاء على:

• تحديث النظام فورًا إلى الإصدار الأخير (v16.4.10315.56368)

• وإذا تعذر التحديث، تدوير قيمة المفتاح machineKey كحل مؤقت