la amenaza invisible el caso de la vulnerabilidad zero day en centrestack

La amenaza invisible: el caso de la vulnerabilidad zero-day en CentreStack

PorCarlos Ribeiro

Acaba de saltar una alerta que pone los pelos de punta a los responsables de seguridad: Gladinet ha publicado parches para una vulnerabilidad en CentreStack que lleva siendo explotada desde finales de septiembre. Y lo peor es que ha estado funcionando como un zero-day en completo silencio hasta ahora.

Anatomía de una vulnerabilidad crítica

La vulnerabilidad, catalogada como CVE-2025-11371, no es un fallo cualquiera. Estamos hablando de un problema de inclusión de archivos sin autenticación que permite a los atacantes recuperar archivos del sistema. En cristiano: una puerta trasera que permite a cualquiera acceder a información crítica sin necesidad de credenciales.

Lo preocupante es que este fallo afecta a las configuraciones predeterminadas de los productos CentreStack y TrioFox de Gladinet. Y no, no es una vulnerabilidad teórica o de laboratorio; los atacantes ya la han estado utilizando para extraer la clave criptográfica ‘machineKey’ de un archivo de configuración y, a partir de ahí, ejecutar código de forma remota.

El mecanismo detrás del ataque

Para entender la gravedad, hay que ver cómo funciona este ataque en dos fases. Según explica la firma de ciberseguridad Huntress, los atacantes primero explotan la vulnerabilidad CVE-2025-11371 para obtener la machineKey, y después aprovechan una vulnerabilidad de deserialización de ViewState.

Es como si primero robaran la llave de tu casa (la machineKey) y después usaran esa llave para entrar y hacer lo que quisieran con tus pertenencias (la ejecución remota de código). El resultado: control total sobre el sistema vulnerable con los privilegios del usuario del pool de aplicaciones IIS.

Un déjà vu inquietante

Este ataque tiene un aire familiar, y no es casualidad. La vulnerabilidad de deserialización de ViewState ya se había utilizado anteriormente para explotar otra falla crítica, la CVE-2025-30406. Esta última se basaba en la presencia de claves codificadas en los archivos de configuración de las aplicaciones.

Lo curioso es que Gladinet ya había parcheado ese problema en abril, actualizando uno de los archivos de configuración que contenía la machineKey y eliminándola de otro. Pero los atacantes encontraron una forma de burlar esta protección mediante la nueva vulnerabilidad descubierta.

La solución: parchear cuanto antes

Gladinet ha resuelto esta vulnerabilidad en la versión 16.10.10408.56683 de CentreStack. Y aquí viene mi consejo directo: si tu organización utiliza CentreStack o TrioFox, aplica estos parches YA. No es momento de postergarlo para el próximo ciclo de actualizaciones o esperar al fin de semana.

Cuando una vulnerabilidad ya está siendo explotada activamente, cada minuto cuenta. Los atacantes ya conocen el camino, tienen las herramientas y están aprovechándose de quienes aún no han actualizado sus sistemas.

¿Por qué es tan importante CentreStack?

Para quienes no estéis familiarizados, CentreStack es un servidor de archivos en la nube autoalojado que proporciona a las organizaciones capacidades de compartición segura de archivos. Lo utilizan muchos proveedores de servicios gestionados (MSPs) para sus clientes y puede integrarse con la infraestructura existente.

Esto lo convierte en un objetivo muy jugoso para los atacantes: comprometes un servidor CentreStack y potencialmente accedes a los datos de múltiples organizaciones. Un golpe con efecto multiplicador, vamos.

El panorama más amplio de las vulnerabilidades zero-day

Este caso de CentreStack no es un incidente aislado. En lo que va de año estamos viendo un incremento preocupante de vulnerabilidades zero-day siendo explotadas antes de que exista un parche disponible.

Adobe AEM Forms, los routers de Cisco, SAP NetWeaver… la lista de sistemas críticos bajo ataque no deja de crecer. Y el patrón es siempre similar: primero se detecta la explotación y después viene la carrera para parchearlo todo.

La velocidad marca la diferencia

Si algo nos enseña este caso es que la velocidad de respuesta marca la diferencia entre un incidente de seguridad y una brecha catastrófica. Gladinet ha reaccionado con relativa rapidez, pero los atacantes llevaban explotando esta vulnerabilidad desde, al menos, finales de septiembre.

¿Cuántos sistemas han sido comprometidos en ese tiempo? Es difícil saberlo, pero lo que está claro es que cada día sin parche es una oportunidad para los atacantes.

En mi experiencia, las organizaciones que mejor sobreviven a estas amenazas son las que tienen procesos ágiles de gestión de parches y una monitorización proactiva. No es cuestión de tener más presupuesto o más herramientas, sino de tener los procesos correctos.

La moraleja es clara: en el mundo actual, parchearse rápido no es una opción, es una necesidad. Y esto aplica tanto a grandes empresas como a pequeñas organizaciones que utilizan herramientas como CentreStack.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *