Хакери ја злоупотребуваат криптографската ранливост во Gladinet CentreStack за RCE напади

Хакери злоупотребуваат нова, недокументирана ранливост во имплементацијата на криптографскиот алгоритам присутен во производите CentreStack и Triofox на Gladinet, кои се користат за безбеден далечински пристап и споделување датотеки.

Искористувајќи го овој безбедносен проблем, напаѓачите можат да добијат хардкодирани криптографски клучеви и да постигнат извршување на далечински код (RCE), предупредуваат истражувачите.

Иако новата криптографска ранливост сè уште нема официјален идентификатор, Gladinet ги извести клиентите за неа и ги советуваше да ги ажурираат производите на најновата верзија, која во моментот на комуникацијата беше објавена на 29 ноември.

Компанијата исто така им обезбеди на клиентите сет индикатори на компромитација (IoCs), што укажува дека ранливоста веќе се злоупотребува.

Истражувачите за безбедност од платформата за управувана сајбер-безбедност Huntress знаат за најмалку девет организации кои биле таргетирани во напади што ја користат новата ранливост заедно со постара ранливост, означена како CVE-2025-30406 – пропуст за локално вклучување датотеки (LFI), кој му овозможува на локален напаѓач да пристапи до системски датотеки без автентикација.

Хардкодирани криптографски клучеви

Користејќи ги IoC-ите од Gladinet, истражувачите на Huntress успеале да утврдат каде се наоѓа ранливоста и како заканувачите ја искористуваат.

Huntress открил дека проблемот произлегува од прилагодената имплементација на AES криптографскиот алгоритам во Gladinet CentreStack и Triofox, каде што клучот за енкрипција и Initialization Vector (IV) биле хардкодирани во датотеката GladCtrl64.dll и можеа лесно да се добијат.

Поконкретно, вредностите на клучевите биле изведени од два статички стрингови од по 100 бајти составени од кинески и јапонски текст, кои биле идентични во сите инсталации на производите.

Ранливоста се наоѓа во обработката на „filesvr.dn“ handler-от, кој го дешифрира параметарот „t“ (Access Ticket) користејќи ги тие статички клучеви, објаснува Huntress.

Секој што ќе ги извлече овие клучеви може да ги дешифрира Access Ticket-ите кои содржат патеки до датотеки, кориснички имиња, лозинки и временски марки, или да креира сопствени билети за да се претстави како друг корисник и да му нареди на серверот да врати која било датотека на дискот.

„Бидејќи овие клучеви никогаш не се менуваат, можевме еднаш да ги извлечеме од меморија и да ги користиме за да дешифрираме било кој билет генериран од серверот или, уште полошо, да енкриптираме наш сопствен,“ велат истражувачите.

Huntress забележал дека Access Ticket-и биле фалсификувани со користење на хардкодирани AES клучеви и поставување на временската ознака на годината 9999, така што билетот никогаш не истекува.

Напаѓачите потоа го побарале web.config фајлот од серверот. Бидејќи тој ја содржи machineKey, тие можеле да ја искористат за да предизвикаат извршување на далечински код преку ранливост во десеријализацијата на ViewState.

Освен една IP-адреса на напаѓачот, 147.124.216[.]205, не е направена конкретна атрибуција за овие напади.

Во однос на целите, Huntress потврди девет организации до 10 декември, од различни сектори, вклучувајќи здравство и технологија.

На корисниците на Gladinet CentreStack и Triofox им се препорачува што побрзо да надградат на верзијата 16.12.10420.56791 (објавена на 8 декември) и исто така да ги ротираат machine keys.

Дополнително, се препорачува скенирање на логовите за стрингот ‘vghpI7EToZUDIZDdprSubL3mTZ2’, кој е поврзан со енкриптираната патека на датотека и се смета за единствениот сигурен индикатор за компромитација.

Huntress обезбедува насоки за ублажување во својот извештај, заедно со индикатори на компромитација кои бранителите можат да ги користат за да ги заштитат своите системи или да утврдат дали биле пробиени.

Извори:

• Bleeping Computer – Hackers exploit Gladinet CentreStack cryptographic flaw in RCE attacks Bleeping Computer