Vulnerabilidad crítica en CentreStack/Triofox

Se ha descubierto una vulnerabilidad de seguridad crítica, identificada como CVE-2025-30406, en las plataformas de intercambio de archivos CentreStack y Triofox de Gladinet.

Los informes detallan que se debe a la presencia de credenciales administrativas codificadas integradas en compilaciones de software predeterminadas. Los atacantes pueden usar estas credenciales para obtener acceso no autorizado a sistemas vulnerables. La agencia de seguridad de infraestructura y Ciberseguridad (CISA) también ha emitido una advertencia sobre el problema, enfatizando que la vulnerabilidad se está explotando activamente, poniendo en riesgo inmediato tanto las implementaciones alojadas en la nube como las locales.

¿Cuál es la amenaza?

CVE-2025-30406 es una vulnerabilidad crítica de omisión de autenticación en las plataformas CentreStack y Triofox, utilizadas para el intercambio de archivos y el acceso remoto de forma segura.

La falla se origina en credenciales administrativas estáticas y codificadas, integradas en el backend, que son idénticas en todas las instalaciones. Los atacantes pueden obtener acceso de administrador completo simplemente con iniciar sesion en la interfaz con estas credenciales, sin necesidad de interacción del usuario ni cadena de explotación.

Una vez autenticados, los atacantes pueden exfiltrar datos, acceder o modificar la configuración, recuperar las credenciales almacenadas, deshabilitar la auditoría y mantener la persistencia mediante la creación de nuevas cuentas de administrador. También pueden usar el acceso para implementar ransomware o moverse lateralmente por las redes. La amenaza se ve amplificada por la amplia exposición de estos sistemas en internet y la explotación confirmada en la práctica, lo que la convierte en un riesgo de alta prioridad.

¿Por qué es digno de mención?

Esta vulnerabilidad revela una falla de diseño significativa y poco común relacionada con credenciales codificadas e inmodificables presentes en el software de producción. La facilidad de explotación, sumada a la disponibilidad de scripts de explotacion públicos, hace que este problema sea vulnerable a una amplia gama de atacantes.

Esta situación pone de relieve los riesgos persistentes asociados a una gestión inadecuada de credenciales, especialmente software diseñado para proteger datos confidenciales.

No te pierdas el video completo de MFA:

¿Cuál es el riesgo?

Las organizaciones que utilizan versiones afectadas de CentreStack o Triofox, especialmente aquellas con implementaciones públicas, se enfrentan a un alto riesgo de vulnerabilidad total de la plataforma. Los ciberdelincuentes pueden acceder a archivos confidenciales, desactivar funciones de seguridad, eludir la autenticación multifactor (MFA) y escalar ataques a la nube o a sistemas internos. En entornos nube, esto puede provocar filtraciones de datos; en implementaciones locales, aumenta la probabilidad de ransomware y amenazas persistentes. La baja complejidad, el alto impacto y la explotación activa de la vulnerabilidad la convierten en una de las fallas de gestión de archivos más peligrosas del año.

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Actualice todas las instalaciones vulnerables de CentreStack y Triofox a la última versión lo antes posible.
• Revise todas las cuentas de administrador existentes en la plataforma para detectar adiciones o cambios no autorizados.
• Elimine cualquier cuenta desconocidas o no reconocida.
• Restrinja el acceso público a los sistemas afectados mediante la implementación de firewalls, VPN o una segmentación de red si no es posible aplicar parches de inmediato.
• Aplique MFA siempre que sea posible, especialmente para  las interfaces de administración, y asegúrese de que no se utilicen credenciales predeterminadas en ningún otro lugar.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR