تفاصيل الثغرة الأمنية

تحمل الثغرة رقم التعريف CVE-2025-30406 وتم تصنيفها بدرجة 9.0 على مقياس CVSS، مما يجعلها من الثغرات ذات الخطورة العالية.
تتمثل الثغرة في استخدام مفتاح تشفير ثابت (hardcoded cryptographic key)، ما يُعرض الخوادم المتصلة بالإنترنت لهجمات تنفيذ التعليمات البرمجية عن بُعد (RCE).

 تم إصلاح الثغرة في CentreStack الإصدار 16.4.10315.56368 الصادر في 3 أبريل 2025. ويُعتقد أن الثغرة استُغلت منذ شهر مارس كـ ثغرة يوم صفر (Zero-Day)، رغم أن طبيعة الهجمات الكاملة لا تزال غير معروفة.

 الثغرة تطال Triofox أيضًا

أكدت Huntress أن الإصدارات حتى 16.4.10317.56372 من Triofox معرضة للخطر، إذ تحتوي على نفس مفتاح التشفير الثابت في ملفات الإعدادات، ما يتيح للمهاجمين تنفيذ تعليمات عن بُعد بسهولة.

صرّح جون هاموند، الباحث الأمني الرئيسي في Huntress:

“الإصدارات القديمة من Triofox تتضمن مفاتيح تشفير ثابتة في ملفات التكوين، ويمكن استغلالها بسهولة في تنفيذ تعليمات برمجية عن بُعد.”

أدوات وتقنيات الهجوم

تشير بيانات التليمتري التي جمعتها Huntress إلى أن برنامج CentreStack تم تثبيته على حوالي 120 نقطة نهاية (Endpoints)، وتم التأكد من اختراق سبع منظمات بالفعل.
 تم تسجيل أول مؤشر اختراق في 11 أبريل 2025، الساعة 16:59:44 بالتوقيت العالمي.

المهاجمون استغلوا الثغرة عبر:

• تحميل وتفعيل DLL ضار باستخدام PowerShell مُشفّر.

• التحرك الجانبي داخل الشبكة (Lateral Movement).

• تثبيت برنامج MeshCentral للوصول عن بُعد.

• تنفيذ أوامر Impacket PowerShell لجمع المعلومات وتثبيت أدوات التحكم مثل MeshAgent.

هذه التقنيات تُشبه إلى حد كبير تلك التي استخدمت في استغلال ثغرة CrushFTP مؤخرًا.

 التوصيات الأمنية العاجلة

نظرًا لكون الثغرة قيد الاستغلال النشط، توصي Huntress بشدة:

• بتحديث كافة إصدارات Gladinet CentreStack وTriofox إلى النسخة الأحدث فورًا.

• مراقبة الشبكات لاكتشاف أي مؤشرات اختراق محتملة (IOCs).

• مراجعة إعدادات التشفير وتحديث المفاتيح الافتراضية.

]]> https://ccforrs.com/%d8%ab%d8%ba%d8%b1%d8%a9-%d8%ad%d8%b1%d8%ac%d8%a9-%d9%81%d9%8a-%d8%a8%d8%b1%d8%a7%d9%85%d8%ac-centrestack-%d9%88triofox-%d8%aa%d9%8f%d9%85%d9%83%d9%91%d9%86-%d9%85%d9%86-%d8%aa%d9%86%d9%81%d9%8a%d8%b0/feed/ 0