Kritische RCE-Lücke: Aktive Angriffe auf Gladinets Triofox und CentreStack

Die schwerwiegende Sicherheitslücke mit der Kennung CVE-2025-30406 und einem CVSS-Wert von 9,0 betrifft einen fest eingebetteten kryptografischen Schlüssel – ein Konstruktionsfehler, der es Angreifern ermöglicht, über das Internet zugängliche Server per Remote-Code-Ausführung zu übernehmen.

Gladinet hat das Problem am 3. April 2025 mit der Veröffentlichung von CentreStack Version 16.4.10315.56368 behoben. Doch wie Huntress berichtet, wurde die Schwachstelle bereits im März als Zero-Day aktiv ausgenutzt. Details zur Angriffsmethodik bleiben bislang im Dunkeln.

Brisant: Auch die Fernzugriffs- und Kollaborationslösung Triofox ist betroffen – und zwar bis einschließlich Version 16.4.10317.56372.

„Frühere Versionen enthalten denselben hart codierten Schlüssel in der Konfigurationsdatei. Damit lassen sich Angriffe mit Remote-Code-Ausführung spielend leicht umsetzen“, warnt John Hammond, leitender Sicherheitsexperte bei Huntress.

Daten aus dem Partnernetzwerk zeigen, dass CentreStack derzeit auf etwa 120 Systemen aktiv im Einsatz ist. Sieben verschiedene Organisationen wurden bereits kompromittiert.

Der erste bekannte Angriff geht auf den 11. April 2025, 16:59:44 UTC zurück. Die Angreifer setzten ein verschlüsseltes PowerShell-Skript ein, um eine manipulierte DLL herunterzuladen und einzuschleusen – eine Technik, die bereits im Zusammenhang mit der CrushFTP-Schwachstelle beobachtet wurde. Anschließend bewegten sie sich seitlich durchs Netzwerk und installierten MeshCentral für dauerhaften Fernzugriff.

Zudem wurde der Einsatz von Impacket via PowerShell festgestellt – offenbar zur Systemaufklärung und zur Installation des MeshAgent. Was das Ganze besonders heikel macht: Ziel und Umfang der Angriffe sind bislang unklar.

Huntress appelliert eindringlich an alle Nutzer von CentreStack und Triofox, ihre Systeme umgehend auf die neueste Version zu aktualisieren, um weiteren Schaden zu verhindern.