Una vulnerabilidad crítica en el software de compartición de archivos seguros Gladinet CentreStack ha sido explotada activamente desde marzo como un zero-day, permitiendo a atacantes comprometer servidores de almacenamiento empresarial.
Gladinet CentreStack es una plataforma usada por empresas para transformar servidores de archivos locales (como Windows Server con SMB) en sistemas de archivos tipo nube, con acceso remoto, sincronización, soporte multiusuario e integración con Active Directory.
Según la compañía, el software es utilizado en 49 países por miles de empresas y MSPs (proveedores de servicios gestionados).
La falla: una deserialización peligrosa ️
La vulnerabilidad, identificada como CVE-2025-30406, es una falla de deserialización que afecta versiones de CentreStack hasta la 16.1.10296.56315.
La explotación fue detectada en estado salvaje desde marzo de 2025.
El problema se origina por el uso de una clave machineKey codificada directamente en el archivo web.config.
Si un atacante conoce esta clave, puede crear cargas maliciosas que el servidor aceptará como válidas, permitiéndole ejecutar código arbitrario.
Gladinet explica que esta clave protege el ViewState de ASP.NET. Si se falsifica, se pueden inyectar objetos manipulados en el servidor, logrando ejecución remota de código (RCE).
Actualización y mitigación disponibles
Gladinet lanzó parches de seguridad para Windows y macOS el 3 de abril de 2025:
- Windows: Versiones 16.4.10315.56368 y 16.3.4763.56357
- macOS: Versión 15.12.434
También recomiendan cambiar manualmente la machineKey en los archivos rootweb.config y portalweb.config, especialmente si no puedes actualizar de inmediato.
“Se ha observado explotación activa. Recomendamos encarecidamente actualizar a la versión parcheada, que mejora la gestión de claves y reduce la exposición”, indicó Gladinet.
Para entornos con múltiples servidores, es crucial que las claves actualizadas sean idénticas en todos los nodos y que se reinicie IIS después del cambio para aplicar los ajustes correctamente.
¿Riesgo de ransomware? Aún no confirmado.. pero posible ️
La vulnerabilidad fue añadida al catálogo de Vulnerabilidades Explotadas Conocidas de CISA (EE.UU.), aunque no se ha confirmado su uso por bandas de ransomware.
Aun así, por la naturaleza del producto y su historial, es altamente probable que se esté explotando con fines de robo de datos.
Recordemos que grupos como Clop tienen un historial explotando plataformas de compartición de archivos, como MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U y Accellion FTA.
CISA ha dado plazo hasta el 29 de abril de 2025 para que agencias estatales y federales apliquen los parches o dejen de usar el producto.