Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Активните напади ги експлоатираат хард-кодираните клучеви на Gladinet за неовластен пристап и извршување на код

Објавено: 11.12.2025

Huntress предупредува на нова активно експлоатирана ранливост во производите CentreStack и Triofox на Gladinet, која произлегува од употреба на тврдокодирани криптографски клучеви и досега има погодено девет организации.

„Заканувачите потенцијално можат да го злоупотребат ова како начин за пристап до датотеката web.config, отворајќи можност за десериализација и извршување на далечински код,“ изјави безбедносниот истражувач Брајан Мастерс.

Употребата на тврдокодирани криптографски клучеви може да им овозможи на заканувачите да декриптираат или фалсификуваат пристапни тикети, со што би можеле да пристапат до чувствителни датотеки како web.config и да ја искористат за да изведат ViewState десериализација и извршување код, додаде сајбер-безбедносната компанија.

Во суштина, проблемот е вкоренет во функцијата наречена „GenerateSecKey()“ присутна во „GladCtrl64.dll“, која се користи за генерирање криптографски клучеви неопходни за енкрипција на пристапни тикети што содржат авторизациски податоци (како корисничко име и лозинка) и овозможување пристап до датотечниот систем како корисник, под услов акредитивите да се валидни.

Бидејќи функцијата GenerateSecKey() враќа исти 100-бајтни текстуални низи и овие низи се користат за изведување на криптографските клучеви, клучевите никогаш не се менуваат и можат да бидат злоупотребени за декриптирање на било кој тикет генериран од серверот или дури за енкрипција на тикет по желба на напаѓачот.

Ова, пак, отвора можност да се пристапи до датотеки што содржат вредни податоци, како web.config, и да се добие machine key потребен за изведување на извршување на далечински код преку ViewState десериализација.

Според Huntress, нападите се спроведуваат со специјално изработени URL барања до крајната точка „/storage/filesvr.dn“, како што е прикажано подолу –

/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu

Нападите се покажало дека ги оставаат полињата за корисничко име (Username) и лозинка (Password) празни, со што апликацијата се враќа на IIS Application Pool Identity. Дополнително, полето „timestamp“ во пристапниот тикет, кое се однесува на времето на создавање на тикетот, е поставено на 9999, со што ефективно се создава тикет што никогаш не истекува. Ова им овозможува на напаѓачите бесконечно да го реупотребуваат URL-то и да ја преземаат конфигурацијата на серверот.

Од 10 декември, најмалку девет организации се погодени од новообјавената ранливост. Овие организации припаѓаат на различни сектори, како здравство и технологија. Нападите потекнуваат од IP адресата 147.124.216[.]205 и се обидуваат да ја поврзат претходно објавената ранливост во истите апликации (CVE-2025-11371) со новиот експлоит, со цел да се добие machine key од web.config датотеката.

„Откако напаѓачот успеал да ги добие клучевите, тој извршил viewstate десериализациски напад и потоа се обидел да го преземе излезот од извршувањето, што не успеало“, изјавија од Huntress.

Поради активната експлоатација, организациите кои ги користат CentreStack и Triofox треба да ја ажурираат апликацијата на најновата верзија 16.12.10420.56791, објавена на 8 декември 2025. Дополнително, се препорачува да се скенираат логовите за присуство на стрингот “vghpI7EToZUDIZDdprSubL3mTZ2”, кој претставува енкриптирана форма на патеката до web.config датотеката.

Доколку се откријат индикатори на компромитирање (IoCs), неопходно е веднаш да се ротира machine key според следните чекори:

  1. На CentreStack серверот, отидете во папката за инсталација:
    C:\Program Files (x86)\Gladinet Cloud Enterprise\root
  2. Направете бекап на датотеката web.config
  3. Отворете IIS Manager
  4. Навигирајте до Sites -> Default Web Site
  5. Во делот ASP.NET, двапати кликнете на Machine Key
  6. На десната страна кликнете “Generate Keys”
  7. Кликнете Apply за да се зачуваат во root\web.config
  8. Рестартирајте IIS по повторувањето на истите чекори на сите worker nodes

Извори:

  • The Hacker News – Active Attacks Exploit Gladinet’s Hard-Coded Keys for Unauthorized Access and Code Execution The Hacker News