De la Enigma la AES, istoria criptografiei ne învață că o idee bună devine vulnerabilă când implementarea scapă de sub control. Astfel, vestea zilei vizează produsele Gladinet, CentreStack și Triofox, folosite pentru acces și partajare securizată a fișierelor, care au fost atacate folosind o vulnerabilitate criptografică care nu fusese anunțată oficial. Problema a fost observată în medii reale, iar atât furnizorul, cât și cercetătorii de la Huntress au emis avertismente și soluții.
Ceea ce au găsit cercetătorii pleacă de la o greșeală clasică: chei criptografice fixe în cod. În CentreStack și Triofox, implementarea proprietară a AES conținea un key și un Initialization Vector stocați hardcodati în fișierul GladCtrl64.dll. Valorile cheilor proveneau din două șiruri statice de 100 de octeți, cu text chinezesc și japonez, identice în toate instalările. Din această cauză, oricine putea extrage acele valori putea decripta token-urile de acces, denumite Access Tickets, sau genera altele pentru a se pretinde utilizator. Access Tickets includ căi de fișiere, nume de utilizator, parole și timestamp-uri, informații suficiente pentru acces la resurse sensibile.
Vulnerabilitatea apare în felul în care handlerul filesvr.dn procesează parametrul t. Huntress arată că, odată ce cheile erau obținute, atacatorii decriptau ticket-urile sau fabricau altele. Pentru a evita expirarea, multe ticket-uri forjate aveau timestamp setat la anul 9999, devenind astfel permanente. Pasul următor al atacatorilor a fost solicitarea fișierului web.config al serverului; acest fișier conține machineKey. Având machineKey, a fost posibilă declanșarea unei execuții remote de cod printr-o vulnerabilitate de deserializare a ViewState. Pe scurt, lanțul atacului transforma o problemă de implementare criptografică într-un acces complet asupra serverului.
Pe lângă această problemă nouă, Huntress a observat că atacatorii combinau tehnica cu o vulnerabilitate mai veche, urmărită ca CVE-2025-30406, un bug de tip local file inclusion care permite unui atacator local accesul la fișierele sistemului fără autentificare. În analiza incidentelor, cercetătorii au identificat cel puțin nouă organizații vizate până la 10 decembrie, din sectoare precum sănătate și tehnologie. Unul dintre IP-urile folosite în exploatare este 147.124.216[.]205, fără a fi clar în acest moment cine este responsabil.
Gladinet a anunțat clienții și a recomandat actualizarea produselor. Inițial, compania publicase o versiune la data de 29 noiembrie, iar ulterior a venit o actualizare mai recentă, 16.12.10420.56791, lansată pe 8 decembrie. Pe lângă instalarea acestei versiuni, organizațiile sunt sfătuite să rotească machineKey-urile pentru a invalida materiale compromise. Huntress a pus la dispoziție un set de indicatori de compromis, iar un element concret pe care administratorii ar trebui să-l caute în loguri este șirul vghpI7EToZUDIZDdprSubL3mTZ2, asociat unei căi de fișier criptate și considerat până acum singurul indicator de compromis de încredere.
Cercetătorii Huntress au detaliat pas cu pas metoda de exploatare și au oferit recomandări de atenuare, care includ actualizarea software-ului, rotirea cheilor și scanarea jurnalelor pentru indicatori specifici. Avertismentele urmăresc prevenirea escaladării: odată ce un atacator obține web.config și machineKey, posibilitatea de a câștiga control extins asupra serverului crește mult. Pentru utilizatorii și administratorii CentreStack și Triofox, măsura urgentă rămâne instalarea versiunii 16.12.10420.56791 și verificarea pentru activități anormale.
Versiunea 16.12.10420.56791, lansată pe 8 decembrie, evidențiază din nou riscurile gestionării cheilor în aplicații enterprise prin implementări AES proprietare și chei hardcodate. Rotirea machineKey-urilor și căutarea stringului vghpI7EToZUDIZDdprSubL3mTZ2 sunt pași practici, iar combinarea unei probleme criptografice cu vulnerabilități de tip file inclusion sau deserializare poate transforma o scăpare mică într-un vector de atac major. Cât de pregătită este organizația ta să detecteze astfel de semne și să actualizeze rapid componentele critice?
Fii primul care comentează