Des pirates informatiques ont exploité une vulnérabilité du logiciel de partage de fichiers sécurisé de Gladinet CentreStack comme un jour zéro depuis mars pour violer les serveurs de stockage
Gladinet CentreStack est une plate-forme d’accès et de partage de fichiers d’entreprise qui transforme les serveurs de fichiers sur site (comme les serveurs Windows avec des partages SMB) en systèmes de fichiers sécurisés de type cloud prenant en charge l’accès à distance aux partages de fichiers internes, la synchronisation et le partage de fichiers, les déploiements mutualisés et l’intégration avec Active Directory.
La société affirme que le produit est utilisé par des milliers d’entreprises dans 49 pays, y compris des entreprises avec des serveurs de fichiers Windows, des MSP hébergeant des services de fichiers pour plusieurs clients et diverses organisations qui ont besoin d’un accès de type cloud sans migration vers le cloud.
La faille, identifiée comme CVE-2025-30406, est une vulnérabilité de désérialisation affectant les versions de Gladinet CentreStack jusqu’à 16.1.10296.56315. Une exploitation à l’état sauvage est observée depuis mars 2025.
Le problème provient de l’utilisation d’une clé MACHINE codée en dur dans la configuration du portail CentreStack (web.configuration). Si un attaquant connaît cette clé, il peut créer une charge utile sérialisée malveillante que le serveur approuvera et exécutera.
Selon l’avis du fournisseur, la clé mal protégée sécurise ASP.NET ViewState, qui, s’il est falsifié, peut permettre aux attaquants de contourner les contrôles d’intégrité, d’injecter des objets sérialisés arbitraires et éventuellement d’exécuter du code sur le serveur.
Correctifs et atténuations disponibles
Gladinet a publié un correctif de sécurité pour CVE-2025-30406 le 3 avril 2025, avec les versions 16.4.10315.56368, 16.3.4763.56357 (Windows) et 15.12.434 (macOS).
Le fournisseur recommande à tous les utilisateurs de passer à la dernière version pour leurs plates-formes dès que possible, ou de faire pivoter manuellement la « clé machine » dans les deux » racine\web.config ‘ et ‘ portail\web.config.’
« L’exploitation a été observée dans la nature. Nous recommandons fortement la mise à jour vers la version corrigée, ce qui améliore la gestion des clés et atténue l’exposition », conseille Gladinet.
« Pour les clients qui ne peuvent pas mettre à jour immédiatement, la rotation des valeurs machineKey est une atténuation provisoire recommandée. »
Ceux qui effectuent une rotation machineKey sur leur environnement doivent garantir la cohérence entre les nœuds dans les déploiements multi-serveurs pour éviter les problèmes opérationnels et redémarrer IIS après les modifications pour que les atténuations s’appliquent.
CISA a ajouté CVE-2025-30406 à son catalogue de vulnérabilités exploitées connues, mais n’a pas indiqué qu’il avait été exploité par des gangs de ransomwares.
Cependant, étant donné la nature du produit, il est probable qu’il soit exploité pour des attaques de vol de données.
Ces types de failles ont historiquement été ciblés par le gang de ransomwares Clop, qui possède une expertise dans l’exploitation des systèmes de partage de fichiers. Les précédentes attaques de vol de données Clop ciblaient les plates-formes de transfert de fichiers sécurisé Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U et Accelion FTA.
L’agence américaine a donné aux organisations étatiques et fédérales concernées jusqu’au 29 avril 2025 pour appliquer les mises à jour de sécurité et les mesures d’atténuation ou cesser d’utiliser le produit.