Компании, использующие сервисы обмена файлами от Gladinet, столкнулись с очередной необходимостью установки обновлений безопасности нулевого дня. На этот раз целью является блокировка злоумышленников, эксплуатирующих криптографические ключи, жестко зашитые в платформы CentreStack и Triofox.
Фирма по кибербезопасности Huntress предупредила, что злоумышленники уже используют эти встроенные ключи для выполнения удаленного выполнения кода (RCE) на затронутых серверах.
«Реализация AES в продуктах Gladinet CentreStack и Triofox содержит жестко закодированные криптографические ключи», — сообщили исследователи Huntress в своем блоге. «Мы наблюдаем, как злоумышленники нацеливаются на эту уязвимость у нашей клиентской базы».
Как и в случае с любым интернет-сервером, удаленное выполнение кода на CentreStack или Triofox потенциально может привести к развертыванию вредоносного ПО, установке бэкдоров и краже учетных данных. Huntress настоятельно рекомендовала всем клиентам CentreStack/Triofox обновиться до последней версии — 16.12.10420.56791, сообщив, что девять их корпоративных клиентов уже пострадали.
Жестко закодированные ключи, более серьезные последствия
В основе проблемы лежит ошибка проектирования в том, как CentreStack и Triofox генерируют криптографические ключи, используемые для шифрования токенов доступа, которые платформы применяют для контроля доступа к файлам. Huntress обнаружила, что сервер полагается на функцию «GenerateSecKey()» для создания ключа AES и вектора инициализации (IV) для шифрования билетов. Однако вместо генерации уникальных значений функция каждый раз при запуске службы возвращает одни и те же статические строки длиной 100 байт.
«Поскольку ключи никогда не меняются, мы могли извлечь их из памяти один раз и использовать для расшифровки любого билета, сгенерированного сервером, или, что еще хуже, для шифрования собственных», — заявили исследователи, добавив, что ключами были статические строки на китайском и японском языках.
Обладая такой возможностью, злоумышленник может запросить любой файл, который сервер способен предоставить, включая конфиденциальный файл «web.config», содержащий машинный ключ ASP.NET.
Имея машинный ключ, злоумышленники могут генерировать вредоносные полезные нагрузки ViewState, которым сервер будет доверять, что позволит удаленно выполнять код через десериализацию ASP.NET. Атаки десериализации используют небезопасный разбор сериализованных объектов (таких как ViewState в ASP.NET) для внедрения вредоносных полезных нагрузок, которые выполняются с привилегиями веб-службы.
Установите патч немедленно
Huntress выявила несколько активных атак, в ходе которых злоумышленник сначала пытался использовать CVE-2025-11371 — ранее раскрытую ошибку локального включения файлов без аутентификации в CentreStack/Triofox, а затем новую уязвимость. Обе позволяли злоумышленникам получить файл web.config, содержащий машинный ключ.
Для успешной атаки, помимо знания стандартных ключей, не требуется никаких предварительных условий, таких как действительные учетные данные или привилегированный доступ. Чтобы снизить риск, Huntress настоятельно рекомендовала всем клиентам немедленно обновиться до последних сборок, выпущенных Gladinet 8 декабря, поскольку они содержат исправления для небезопасной криптографии.
Там, где немедленное исправление невозможно, изменения в конфигурации для замены машинных ключей случайными значениями могут снизить риск до развертывания обновлений. Кроме того, команда Huntress поделилась зашифрованным GET-запросом для web.config в качестве индикатора компрометации (IOC).
Ранее Gladinet не удалось полностью исправить аналогичную уязвимость с жестко закодированными ключами, поскольку злоумышленники нашли способ возобновить условия эксплуатации на исправленных системах.
Автор – Shweta Sharma
