IIS и ASP.NET снова в центре атаки — виноват web.config
Хакеры используют уязвимость нулевого дня, чтобы захватить защищенные серверы обмена файлами Gladinet CentreStack. Согласно предупреждению Gladinet, уязвимость связана с обработкой криптографических ключей, отвечающих за целостность ASP.NET ViewState . При неправильной конфигурации или использовании статического machineKey в файле web.config возникает возможность подделки данных ViewState. Это открывает путь к несанкционированным действиям от имени пользователей, а в некоторых случаях — к удалённому выполнению кода (RCE) на сервере.
Суть CVE-2025-30406 (оценка CVSS: 9.8) заключается в том, что machineKey, применяемый для подписи ViewState, может быть, либо предсказан, либо считан хакером. Если это происходит, атакующий способен сформировать собственный ViewState с вредоносной нагрузкой, которая пройдет проверку подлинности и будет интерпретирована сервером как легитимная. При определённых конфигурациях IIS и ASP.NET это может привести к десериализации и запуску произвольного кода на стороне сервера.
Злоумышленники уже начали использовать Zero-day в реальных атаках. Производитель настоятельно рекомендует установить обновление до защищённой версии CentreStack — сборки 16.4.10315.56368 , которая автоматически генерирует уникальный machineKey при установке, устраняя риск эксплуатации уязвимости. Установочный файл доступен по прямой ссылке и совместим с текущими развёртываниями продукта.
Для тех, кто не может выполнить обновление немедленно, разработан временный обходной метод — ручная ротация machineKey. Он предполагает использование IIS Manager для генерации нового ключа, обновление конфигурационных файлов web.config и синхронизацию ключа на всех нодах в серверной ферме, если используется кластер. При этом требуется удалить старую конфигурацию machineKey из дополнительного файла portal\web.config, чтобы избежать конфликтов. Завершается процедура перезапуском IIS, что активирует новые настройки.
Также опубликована официальная инструкция по безопасной настройке CentreStack, включая генерацию ключей и рекомендации по отказу от хранения чувствительной информации в открытом виде. Она помогает свести к минимуму риски, даже в случае отсутствия обновления.
В случае работы в многосерверной конфигурации ключ должен быть единым для всех узлов. Поэтому после генерации ключа на главной ноде, он вручную копируется в соответствующие конфигурационные файлы всех других узлов. Без этого возможны сбои в аутентификации ViewState и нестабильность работы приложения.
Хакеры используют уязвимость нулевого дня, чтобы захватить защищенные серверы обмена файлами Gladinet CentreStack. Согласно предупреждению Gladinet, уязвимость связана с обработкой криптографических ключей, отвечающих за целостность ASP.NET ViewState . При неправильной конфигурации или использовании статического machineKey в файле web.config возникает возможность подделки данных ViewState. Это открывает путь к несанкционированным действиям от имени пользователей, а в некоторых случаях — к удалённому выполнению кода (RCE) на сервере.
Суть CVE-2025-30406 (оценка CVSS: 9.8) заключается в том, что machineKey, применяемый для подписи ViewState, может быть, либо предсказан, либо считан хакером. Если это происходит, атакующий способен сформировать собственный ViewState с вредоносной нагрузкой, которая пройдет проверку подлинности и будет интерпретирована сервером как легитимная. При определённых конфигурациях IIS и ASP.NET это может привести к десериализации и запуску произвольного кода на стороне сервера.
Злоумышленники уже начали использовать Zero-day в реальных атаках. Производитель настоятельно рекомендует установить обновление до защищённой версии CentreStack — сборки 16.4.10315.56368 , которая автоматически генерирует уникальный machineKey при установке, устраняя риск эксплуатации уязвимости. Установочный файл доступен по прямой ссылке и совместим с текущими развёртываниями продукта.
Для тех, кто не может выполнить обновление немедленно, разработан временный обходной метод — ручная ротация machineKey. Он предполагает использование IIS Manager для генерации нового ключа, обновление конфигурационных файлов web.config и синхронизацию ключа на всех нодах в серверной ферме, если используется кластер. При этом требуется удалить старую конфигурацию machineKey из дополнительного файла portal\web.config, чтобы избежать конфликтов. Завершается процедура перезапуском IIS, что активирует новые настройки.
Также опубликована официальная инструкция по безопасной настройке CentreStack, включая генерацию ключей и рекомендации по отказу от хранения чувствительной информации в открытом виде. Она помогает свести к минимуму риски, даже в случае отсутствия обновления.
В случае работы в многосерверной конфигурации ключ должен быть единым для всех узлов. Поэтому после генерации ключа на главной ноде, он вручную копируется в соответствующие конфигурационные файлы всех других узлов. Без этого возможны сбои в аутентификации ViewState и нестабильность работы приложения.