Американската агенция за киберсигурност CISA призова във вторник организациите спешно да закърпят две експлоатирани уязвимости от типа „нулев ден“ в Gladinet CentreStack и Microsoft Windows.

Проследявана като CVE-2025-30406 (CVSS оценка 9), грешката в CentreStack беше разкрита на 3 април, когато Gladinet обяви кръпки за нея, предупреждавайки, че тя е експлоатирана от март насам. Изглежда, че няма публична информация за тези атаки.

Проблемът засяга начина, по който облачният сървър и платформата за сътрудничество управляват криптографските ключове, използвани за проверка на целостта на ViewState, като позволява на нападателя да подправя данни и да изпълнява произволен код от разстояние.

„Приложението използва твърдо кодиран или неправилно защитен machineKey във файла IIS web config, който отговаря за защитата на данните ASP.NET ViewState. Ако атакуващият получи или предвиди machineKey, той може да фалшифицира ViewState товари, които преминават проверките за цялост“, обяснява Gladient в своята консултация.

В определени конфигурации, обяснява компанията, могат да бъдат монтирани атаки за десериализация на ViewState, което може да доведе до отдалечено изпълнение на код (RCE) на уеб сървъра.

Gladient адресира уязвимостта в CentreStack 16.4.10315.56368, като призовава организациите да актуализират незабавно или да завъртят стойностите на machineKey като временно смекчаване на последиците.

„Последната версия на билда вече автоматично генерира нов machine key по време на инсталацията, за да се повиши сигурността на системата“, заявиха от компанията.

Недостатъкът в Windows, проследен като CVE 2025-29824 (CVSS оценка 7,8), е описан като проблем с използването след освобождаване в драйвера на Common Log File System (CLFS) на платформата, който може да се използва за локално повишаване на привилегиите.

Microsoft пусна поправки за дефекта в сигурността на 2025 април Patch Tuesday, като предупреди, че е забелязала заплаха да го използва срещу организации в САЩ, Венецуела, Испания и Саудитска Арабия. За разгръщането на експлойта е използван зловредният софтуер PipeMagic, който е бил използван при атаки с цел получаване на откуп.

Във вторник CISA добави и двата недостатъка към каталога на известните експлоатирани уязвимости (Known Exploited Vulnerabilities – KEV), като призова федералните агенции да приложат наличните кръпки и мерки за намаляване на риска до 29 април, както е предвидено в Обвързваща оперативна директива (BOD) 22-01.

Въпреки че директивата се отнася само за федералните агенции, на всички организации се препоръчва да прегледат списъка с KEV, да идентифицират засегнатите приложения и устройства в своите среди и незабавно да отстранят дефектите в сигурността.