# CVE-2025-14611 > [!critical] CVSS 9.8 - Gladinet CentreStack / Triofox Credenciais Hardcoded RCE > Uso de valores hardcoded na implementação AES do Gladinet CentreStack e Triofox permite que atacantes não autenticados realizem inclusão arbitrária de arquivos locais, levando a execução remota de código em servidores de compartilhamento de arquivos enterprise. ## Visão Geral CVE-2025-14611 é uma vulnerabilidade crítica (CVSS 9.8) que afeta o **Gladinet CentreStack** e o **Triofox**, plataformas de compartilhamento de arquivos e acesso remoto amplamente utilizadas em ambientes enterprise. A falha envolve o uso de **credenciais hardcoded** (CWE-798) na implementação do esquema criptográfico AES, específicamente na chave de máquina ASP.NET (`machineKey`) utilizada para proteger tokens de sessão e outros dados serializados. Quando o `machineKey` é hardcoded e conhecido públicamente, um atacante pode forjar tokens de ViewState ou cookies de sessão ASP.NET e forçar o servidor a deserializar dados maliciosos — resultando em execução remota de código sem autenticação. Esta classe de vulnerabilidade, popularizada pelo exploit do `.NET ViewState`, é extremamente perigosa porque o servidor é compelido a executar código fornecido pelo atacante no contexto do processo IIS/ASP.NET. A Huntress identificou exploração ativa em ambientes de produção antes mesmo da disponibilidade do patch. Organizações que utilizam CentreStack ou Triofox como solução de file sharing enterprise — muito comuns em setores financeiro, jurídico e saúde no Brasil — devem considerar esta vulnerabilidade como comprometimento presumido se o patch não foi aplicado até a data de divulgação. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|---------------------|-----------------| | Gladinet CentreStack | Todas as versões < 16.12.10420.56791 | 16.12.10420.56791+ | | Gladinet Triofox | Todas as versões < 16.12.10420.56791 | 16.12.10420.56791+ | ## Análise Técnica A vulnerabilidade é classificada como **CWE-798** (Use of Hard-Coded Credentials). O fluxo de exploração: 1. **Extração da chave:** O `machineKey` hardcoded é idêntico em todas as instalações afetadas 2. **Forja de ViewState:** Atacante usa a chave conhecida para assinar payload malicioso serializado 3. **Deserialização remota:** Servidor processa o ViewState forjado e executa o payload 4. **RCE sem autenticação:** Execução de comandos no contexto do servidor IIS (potencialmente SYSTEM) Esta exploração mapeia diretamente para [[t1190-exploit-public-facing-application|T1190]] (Exploit Public-Facing Application) para acesso inicial, podendo levar a [[t1059-powershell|T1059.001]] (PowerShell) para execução de estágios subsequentes. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>Identificar instâncias CentreStack<br/>ou Triofox expostas"] --> B["🔑 Extrair machineKey<br/>Valor hardcoded público<br/>CVE-2025-14611"] B --> C["📦 Forjar ViewState<br/>Payload .NET serializado<br/>Assinado com chave conhecida"] C --> D["💥 RCE no servidor<br/>Deserialização maliciosa<br/>Execução sem autenticação"] D --> E["🏠 Acesso ao file server<br/>Dados corporativos expostos<br/>Lateral movement via SMB"] ``` ## Mitigação **Ação imediata (CISA KEV - prazo: 5 jan 2026):** 1. **Atualizar imediatamente** para a versão 16.12.10420.56791 ou superior 2. **Se patch não for possível:** Isolar o servidor da internet pública imediatamente 3. **Rotacionar o machineKey** nas configurações do IIS para um valor único e aleatório 4. **Revisar logs IIS** para requests suspeitos com ViewState anômalo 5. **Assumir comprometimento** se o servidor esteve exposto sem patch - iniciar IR Referência: [Huntress Blog - CentreStack Exploração Ativa](https://www.huntress.com/blog/) > [!latam] Relevância para Brasil e América Latina > O Gladinet CentreStack é utilizado por escritórios jurídicos, consultorias e empresas de médio porte no Brasil como alternativa ao SharePoint. Ambientes que utilizam esta plataforma para compartilhamento de documentos sensíveis — contratos, dados financeiros, propriedade intelectual — estão em risco máximo. A exploração ativa documentada pela Huntress indica que grupos de ameaça já estão varrendo a internet em busca de instâncias vulneráveis. Organizações brasileiras com este software exposto devem iniciar processo de Incident Response imediatamente. ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-14611) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Huntress Research Blog](https://www.huntress.com/blog/) **Ver também:** [[t1190-exploit-public-facing-application|T1190]] · [[t1059-powershell|T1059.001]] · [[t1078-valid-accounts|T1078]] · [[m1051-update-software|M1051]] · [[m1026-privileged-account-management|M1026]] · [[m1030-network-segmentation|M1030]]