Una clave compromete todo el servidor CentreStack: un 0Day inesperado

Los hackers están explotando una vulnerabilidad de día нулевое para comprometer servidores protegidos de intercambio de archivos Gladinet CentreStack. Según una advertencia de Gladinet, la vulnerabilidad está relacionada con el manejo de claves criptográficas responsables de la integridad del ViewState de ASP.NET. Cuando el archivo web.config está mal configurado o se utiliza una clave machineKey estática, existe la posibilidad de falsificar datos del ViewState. Esto permite realizar acciones no autorizadas en nombre de los usuarios e, incluso, en ciertos casos, ejecutar código remotamente (RCE) en el servidor.

La esencia de la CVE-2025-30406 (puntuación CVSS: 9.8) es que la machineKey utilizada para firmar el ViewState puede ser predicha o leída por un atacante. Si esto ocurre, el atacante puede generar su propio ViewState con carga maliciosa, que superará la validación y será interpretado por el servidor como legítimo. En determinadas configuraciones de IIS y ASP.NET, esto puede provocar la deserialización y ejecución arbitraria de código en el lado del servidor.

Los atacantes ya han comenzado a utilizar este zero-day en ataques reales. El fabricante recomienda encarecidamente actualizar a una versión segura de CentreStack — la compilación 16.4.10315.56368, que genera automáticamente una machineKey única durante la instalación, eliminando el riesgo de explotación. El archivo de instalación está disponible mediante enlace directo y es compatible con implementaciones actuales del producto.

Para quienes no puedan actualizar de inmediato, se ha desarrollado un método provisional — la rotación manual de la machineKey. Esto implica usar el IIS Manager para generar una nueva clave, actualizar los archivos de configuración web.config y sincronizar la clave en todos los nodos del clúster si se trata de una configuración distribuida. Además, es necesario eliminar la configuración antigua de machineKey del archivo portal\web.config para evitar conflictos. El procedimiento finaliza con el reinicio de IIS para aplicar los nuevos ajustes.

También se ha publicado una guía oficial para la configuración segura de CentreStack, que incluye la generación de claves y recomendaciones para evitar almacenar información sensible en texto plano. Esta guía ayuda a minimizar los riesgos incluso si no se aplica la actualización.

En caso de operar en una configuración multiservidor, la clave debe ser idéntica en todos los nodos. Por tanto, una vez generada la clave en el nodo principal, debe copiarse manualmente a los archivos de configuración correspondientes en todos los demás nodos. De no hacerlo, pueden producirse fallos en la autenticación del ViewState e inestabilidad en el funcionamiento de la aplicación.