Pesquisadores da Huntress alertaram sobre a exploração ativa da vulnerabilidade crítica CVE-2025-30406 nos softwares Gladinet CentreStack e Triofox. Segundo a empresa, pelo menos sete organizações e 120 endpoints foram comprometidos, com ataques observados já em março de 2025. A falha, classificada com um CVSS de 9.0, decorre do uso de uma chave machineKey codificada no arquivo web.config do portal CentreStack. Essa chave, responsável por garantir a integridade de dados do ViewState do ASP.NET, permite que agentes maliciosos forjem cargas que passam pelas verificações de integridade e explorem o recurso para executar código remotamente (RCE) no servidor web.

O problema foi corrigido na versão 16.4.10315.56368, lançada em 3 de abril de 2025. Além da atualização, para quem não puder aplicá-la de imediato, a recomendação é alterar os valores da machineKey como medida provisória. O alerta da Huntress, publicado em 11 de abril, indica que servidores expostos à internet estão sob alto risco. A falha permite ataques de desserialização via ViewState — técnica bem conhecida na comunidade de cibersegurança — que resulta em execução remota de código no servidor sob o contexto do usuário IISAPPPOOL\portaluser. A partir desse ponto, é possível escalar privilégios facilmente para o nível SYSTEM.

A vulnerabilidade também foi adicionada ao catálogo de falhas exploradas ativamente da CISA (Agência de Segurança Cibernética dos EUA), destacando sua criticidade. Em um dos ataques analisados, os invasores usaram comandos PowerShell para baixar e executar uma DLL maliciosa, técnica semelhante à usada em explorações recentes de falhas no CrushFTP. Além disso, os atacantes realizaram movimentação lateral e instalaram a ferramenta de acesso remoto MeshCentral. Em outro host comprometido, comandos da ferramenta Impacket e arquivos maliciosos como MeshAgent e Centre.exe foram executados.