Пароль «12345» был бы надежнее. Разработчики Gladinet зашили секретные ключи прямо в код.

leer en español

CentreStack Triofox RCE Huntress десериализация
Пароль «12345» был бы надежнее. Разработчики Gladinet зашили секретные ключи прямо в код.
CentreStack Triofox RCE Huntress десериализация

Одна статичная строка в DLL превращает «токены доступа» Gladinet в универсальный пропуск для атакующих.

image

У Gladinet снова неприятности: в продуктах CentreStack и Triofox нашли уязвимость, связанную с «вшитой» криптографией. По данным Huntress, в реализации AES используются жестко заданные ключи, из-за чего злоумышленники могут подделывать «билеты доступа» к скачиванию файлов и добираться до конфигурации web.config. А это уже прямой путь к краже ASP.NET machineKey и дальнейшим атакам через десериализацию ViewState — вплоть до удалённого выполнения кода. Исследователи подчёркивают, что атаки уже идут «вживую» и рекомендуют срочно обновиться до версии 16.12.10420.56791.

Суть проблемы — в обработчике запросов, который принимает параметр с зашифрованным «тикетом» (внутри — что именно запрашивается и с какими правами). В нормальном мире такие тикеты должны быть привязаны к уникальным, секретным ключам конкретного сервера. Но Huntress выяснила, что ключ и IV фактически неизменны: они каждый раз получаются из одних и тех же статичных строк внутри библиотеки продукта. Это означает, что один раз добыв эти значения, атакующий потенциально может как расшифровывать чужие тикеты, так и генерировать собственные — и запрашивать чувствительные файлы на сервере.

Дальше включается знакомая многим администраторам IIS цепочка: получив web.config, атакующий извлекает machineKey, который защищает целостность ViewState. С этим ключом становится возможной подделка ViewState-данных и атаки на десериализацию, которые в худшем случае приводят к RCE. Сам подход хорошо известен, а для Gladinet-экосистемы он уже звучал ранее: NVD описывает CVE-2025-30406 как уязвимость десериализации, завязанную на hardcoded machineKey, и отмечает, что она уже эксплуатировалась в дикой природе.

Huntress отдельно отмечает, что в их наблюдениях злоумышленники сначала пытались использовать прежнюю LFI-брешь (CVE-2025-11371), а затем — новый путь, чтобы вытащить web.config и перейти к ViewState-атакам. По состоянию на 10 декабря пострадали девять организаций из разных отраслей; попытки эксплуатации исследователи связывают, в частности, с IP-адресом 147.124.216[.]205.

Что делать защитникам: Gladinet выпустила обновления [1, 2], и сейчас ключевая рекомендация — как можно быстрее перейти на актуальный билд 16.12.10420.56791, а затем обязательно сменить/перегенерировать machineKey (иначе даже после патча украденный ключ останется полезным). Для охоты по логам Huntress также советует искать характерный фрагмент, который встречается в запросах при попытках добраться до web.config, но предупреждает, что полные строки из IoC могут быть «скользкими» из-за переменных значений времени.