-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheid verholpen in Gladinet CentreStack
Advisory ID : NCSC-2025-0121
Versie : 1.00
Kans : medium
CVE ID : CVE-2025-30406
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Use of Hard-coded Cryptographic Key
Uitgiftedatum : 20250410
Toepassing : Gladinet CentreStack
Versie(s) :
Platform(s) :
Beschrijving
Gladinet heeft een kwetsbaarheid verholpen in CentreStack (Versies
tot 16.1.10296.56315).
De kwetsbaarheid bevindt zich in de manier waarop hardcoded
machineKeys en cryptografische sleutels worden gebruikt, hetgeen
resulteert in een ernstige deserialisatiekwetsbaarheid. De
kwetsbaarheid maakt het voor een kwaadwillende mogelijk om malafide
ViewState-payloads te genereren die door het getroffen systeem als
geldig worden geaccepteerd. Hierdoor kan willekeurige code op afstand
worden uitgevoerd binnen de context van het kwetsbare systeem.
Gladinet geeft aan dat de kwetsbaarheid sinds maart 2025 actief wordt
misbruikt. Ook het Amerikaanse Cybersecurity and Infrastructure
Security Agency (CISA) meldt via de Known Exploited Vulnerability
Database dat de kwetsbaarheid is misbruikt.
Mogelijke oplossingen
Gladinet heeft een beveiligingsupdate uitgebracht in versie
16.4.10315.56368 van CentreStack. In deze versie wordt tijdens de
installatie automatisch een unieke machineKey gegenereerd, waarmee de
onderliggende kwetsbaarheid wordt gemitigeerd. Het Nationaal Cyber
Security Centrum (NCSC) adviseert organisaties met klem om hun
systemen zo spoedig mogelijk bij te werken naar deze versie. Indien
een directe update niet haalbaar is, wordt aanbevolen om handmatig
een unieke machineKey te genereren en toe te passen. Aangezien de
kwetsbaarheid actief is misbruikt, adviseert het NCSC organisaties
tevens om nader technisch onderzoek uit te voeren. Raadpleeg de
bijgevoegde referenties voor aanvullende toelichting en technische
details.
Referenties:
Reference - certbundde; hkcert; ibm; redhat
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Reference - cisagov
https://nvd.nist.gov/vuln/detail/CVE-2025-30406
Reference - cisagov; cveprojectv5; nvd
https://gladinetsupport.s3.us-
east-1.amazonaws.com/gladinet/securityadvisory-cve-2005.pdf
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----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=e6of
-----END PGP SIGNATURE-----
