Компания по кибербезопасности Huntress обнаружила активную эксплуатацию критической уязвимости в продуктах Gladinet CentreStack и Gladinet Triofox. Проблема связана с использованием жестко закодированных криптографических ключей, что позволяет злоумышленникам получать несанкционированный доступ к системам, манипулировать билетами доступа и выполнять удаленный код (RCE). По состоянию на 10 декабря зафиксировано уже девять пострадавших организаций, преимущественно в секторах здравоохранения и технологий.
Корень проблемы кроется в файле GladCtrl64.dll, а именно в функции под названием GenerateSecKey(). Исследователь безопасности Брайан Мастерс выяснил, что эта функция возвращает идентичные 100-байтовые текстовые строки. Поскольку эти строки используются для генерации криптографических ключей и никогда не меняются, ключи остаются статичными. Это позволяет атакующим расшифровывать любые билеты, созданные сервером, а также шифровать и подделывать собственные билеты доступа.
Вектор атаки предполагает отправку специально созданных URL-запросов к конечной точке /storage/filesvr.dn. Злоумышленники оставляют поля Username и Password пустыми, что заставляет приложение использовать идентификатор пула приложений IIS (IIS Application Pool Identity) в качестве резервного механизма. Обладая валидными учетными данными или используя этот механизм обхода, хакеры получают доступ к файловой системе с правами пользователя.
Для обеспечения персистентности и расширения атаки злоумышленники манипулируют временными метками. Устанавливая значение timestamp на 9999, они создают билет, срок действия которого никогда не истекает. Это позволяет неограниченно использовать поддельный доступ для загрузки конфигурации сервера. Основной целью атакующих является файл web.config, из которого они пытаются извлечь machine key (машинный ключ).
Конечной целью атаки является достижение десериализации ViewState и последующее удаленное выполнение кода. Хакеры пытаются связать эту новую эксплуатацию с ранее раскрытой уязвимостью CVE-2025-11371. Наблюдения показали, что атакующие успешно выполняли атаку десериализации ViewState, однако им не удавалось получить выходные данные выполнения команд.
Специалисты выявили конкретные индикаторы компрометации (IOCs). Атаки исходят с IP-адреса 147.124.216[.]205. Администраторам систем настоятельно рекомендуется просканировать журналы на наличие специфической строки «vghpI7EToZUDIZDdprSubL3mTZ2». Данная последовательность символов представляет собой зашифрованный путь к файлу web.config и служит четким сигналом попытки взлома.
Для устранения уязвимости компания Gladinet выпустила обновление безопасности. Безопасной версией программного обеспечения является сборка 16.12.10420.56791, которая была опубликована 8 декабря 2025 года. Всем пользователям CentreStack и Triofox необходимо незамедлительно обновить свои системы до этой или более поздней версии.
Помимо обновления ПО, требуется ручной сброс Machine Key через диспетчер IIS. Процедура включает открытие IIS Manager, переход к Sites -> Default Web Site и выбор пункта Machine Key в разделе . После этого необходимо нажать «Generate Keys» на правой панели и подтвердить действие кнопкой Apply, чтобы сохранить новые ключи в root\web.config.
Изображение носит иллюстративный характер
Корень проблемы кроется в файле GladCtrl64.dll, а именно в функции под названием GenerateSecKey(). Исследователь безопасности Брайан Мастерс выяснил, что эта функция возвращает идентичные 100-байтовые текстовые строки. Поскольку эти строки используются для генерации криптографических ключей и никогда не меняются, ключи остаются статичными. Это позволяет атакующим расшифровывать любые билеты, созданные сервером, а также шифровать и подделывать собственные билеты доступа.
Вектор атаки предполагает отправку специально созданных URL-запросов к конечной точке /storage/filesvr.dn. Злоумышленники оставляют поля Username и Password пустыми, что заставляет приложение использовать идентификатор пула приложений IIS (IIS Application Pool Identity) в качестве резервного механизма. Обладая валидными учетными данными или используя этот механизм обхода, хакеры получают доступ к файловой системе с правами пользователя.
Для обеспечения персистентности и расширения атаки злоумышленники манипулируют временными метками. Устанавливая значение timestamp на 9999, они создают билет, срок действия которого никогда не истекает. Это позволяет неограниченно использовать поддельный доступ для загрузки конфигурации сервера. Основной целью атакующих является файл web.config, из которого они пытаются извлечь machine key (машинный ключ).
Конечной целью атаки является достижение десериализации ViewState и последующее удаленное выполнение кода. Хакеры пытаются связать эту новую эксплуатацию с ранее раскрытой уязвимостью CVE-2025-11371. Наблюдения показали, что атакующие успешно выполняли атаку десериализации ViewState, однако им не удавалось получить выходные данные выполнения команд.
Специалисты выявили конкретные индикаторы компрометации (IOCs). Атаки исходят с IP-адреса 147.124.216[.]205. Администраторам систем настоятельно рекомендуется просканировать журналы на наличие специфической строки «vghpI7EToZUDIZDdprSubL3mTZ2». Данная последовательность символов представляет собой зашифрованный путь к файлу web.config и служит четким сигналом попытки взлома.
Для устранения уязвимости компания Gladinet выпустила обновление безопасности. Безопасной версией программного обеспечения является сборка 16.12.10420.56791, которая была опубликована 8 декабря 2025 года. Всем пользователям CentreStack и Triofox необходимо незамедлительно обновить свои системы до этой или более поздней версии.
Помимо обновления ПО, требуется ручной сброс Machine Key через диспетчер IIS. Процедура включает открытие IIS Manager, переход к Sites -> Default Web Site и выбор пункта Machine Key в разделе . После этого необходимо нажать «Generate Keys» на правой панели и подтвердить действие кнопкой Apply, чтобы сохранить новые ключи в root\web.config.
