La vulnérabilité clé à code dur est exploitée depuis mars, explique le rapport; L’analyste dit que les programmeurs ne sont pas formés pour empêcher ce type de problème.
Les Cisos exécutant le serveur de fichiers Centrestack de Gladinet ou le serveur de partage de fichiers Triofox devraient mettre à jour les applications dès que possible en raison d’une vulnérabilité clé codée dure qui est exploitée maintenant, affirment les chercheurs de Huntress.
«S’il est laissé non corrigé, il ouvre la porte aux violations de données et aux compromis système avec un minimum d’effort.»
La vulnérabilité, CVE-2025-30406, est si mauvaise qu’elle a été ajoutée au catalogue des vulnérabilités exploité de la Cybersecurity and Infrastructure Agency aux États-Unis le 8 avril. Depuis lors, Huntress a vu sept organisations compromises par ce trou.
Selon Mitre, la vulnérabilité est exploitée depuis mars.
Le CVE-2025-30406 se classe comme une vulnérabilité de gravité critique, a ajouté Hammond. «Simplement, le serveur accessible est la seule exigence pour qu’elle soit exploitée. Les instances vulnérables Gladinet Centrestack ou Triofox sont susceptibles de cela via leurs propres clés cryptographiques sensibles, qui sont codées en dur dans l’application et inchangées par défaut.
« Il y a quelques centaines de serveurs vulnérables exposés à l’Internet public, selon Shodan », a écrit Hammond dans un blog plus tôt cette semaine. «Bien que cela puisse être un nombre relativement faible, le risque de compromis immédiat est toujours grave.»
La majeure partie de ces serveurs se trouvent aux États-Unis et au Canada.
Les versions vulnérables sont des versions Gladenet Centrestack jusqu’à 16.1.10296.56315; Le trou a été fixé dans la version 16.4.10315.56368. Toutes les versions de Triofox inférieures à 16.4.10317.56372 sont vulnérables. Et, a déclaré le blog, « Si un serveur Gladinet Centrestack ou Triofox est exposé à Internet avec ces clés codées en dur, il est en danger immédiat et doit être corrigé ou faire modifier les valeurs machine dès que possible. »
Selon Hammond, le portail Web Centrestack est une application ASPX et utilise le fichier web.config typique dans ce chemin d’installation: bien qu’il ait également été vu dans ce chemin :.
De même, les fichiers triofox web.config pourraient être dans deux emplacements: et.
La faiblesse peut être exploitée pour abuser de l’ASPX Viewstate, un mécanisme utilisé pour préserver l’état d’une page Web et ses contrôles entre plusieurs demandes HTTP, explique le blog Huntress. Les touches codées en dur ouvrent la porte à une technique d’attaque très standard et bien documentée avec la désérialisation de Viewstate.
« Pour être clair », a ajouté le blog, « il peut y avoir deux fichiers web.config (un dans root et un dans Portal répertoires) car il s’agit d’une configuration très courante dans les applications ASP.NET. Il existe une application Web racine et des sous-applications imbriquées. »
Pour patcher ou atténuer le risque, dit Huntress: «Si les deux fichiers sont présents, les deux doivent avoir des valeurs de machine à jour, ou si elles peuvent être supprimées. Le gladinet officiel met à jour le fichier root web.config mais supprime la saisie de la machine-clé de Portal web.config.
Les avis de sécurité de Gladinet pour Centrestack et Triofox fournissent des directives supplémentaires sur l’assainissement.
Difficile à défendre contre les attaques
Roger Grimes, analyste de défense basé sur les données chez KnowBe4, a déclaré dans un e-mail que les vulnérabilités des informations d’identification à code dur sont difficiles à construire une défense à moins que le fournisseur ne puisse publier un correctif, bien qu’il ait ajouté, un administrateur informatique peut être en mesure de supprimer le périphérique de leur réseau jusqu’à ce qu’il soit corrigé, ou bloquer l’accès à distance au dispositif affecté jusqu’à ce qu’il soit résolu.
«Ce qui me frustre, c’est que les références codées durs sont probablement le type de vulnérabilité le plus simple de code auquel tout le monde pourrait penser. Il est très basique et facile de voir que c’est mal et un accident qui attend de se produire. Pourtant, j’en ai vu quelques-uns annoncés la semaine dernière ou deux.
Les programmeurs non correctement formés
Comment les programmeurs peuvent-ils faire ce type d’erreur de base?
Pour commencer, a déclaré Grimes, ils ne sont pas formés pour le faire. «Presque aucun programme de programmation dans le monde (par exemple, l’université, l’école technique, en ligne, etc.) enseigne une programmation sécurisée», a-t-il déclaré. «Et si nous n’enseignons pas à nos programmeurs sur les vulnérabilités communes et comment les éviter, comment pouvons-nous magiquement nous attendre à ce qu’ils les mettent dans leur code? Si vous regardez comment nous avons enseigné à nos programmeurs, vous vous attendriez à voir le résultat que nous obtenons aujourd’hui… qui est plus de 40200 vulnérabilités un an et la croissance. Compétences en programmation pour être embauchée.
« Si vous n’aimez pas le nombre de références codées durs qui se déroulent encore aujourd’hui, détendez-vous », a-t-il ajouté. « Il y a, à coup sûr, 1 000 programmeurs qui mettent également des informations d’identification à code dur dans leurs applications tous les jours et nous ne découvrirons qu’un très petit pourcentage d’entre eux au fil du temps. Le reste vivra sans être découvert, ou il sera découvert que l’attaquant qui les utilise ne l’annoncera pas au monde si tôt. »
