导语:安全研究人员发出警告,攻击者可借助该漏洞获取硬编码加密密钥,进而实现远程代码执行。
黑客正针对两款远程文件安全访问共享产品——CentreStack与Triofox发起攻击,其所用的突破口,是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。
安全研究人员发出警告,攻击者可借助该漏洞获取硬编码加密密钥,进而实现远程代码执行。尽管该新型加密漏洞目前尚未获得官方漏洞编号,但Gladinet方面已向客户推送相关通知,建议用户将产品更新至11月29日发布的最新版本。该公司同时向客户提供了一套入侵指标,表明该漏洞已被用于野外攻击。
托管式网络安全平台Huntress的安全研究人员证实,目前至少有9家机构遭到攻击。攻击者在攻击中同时利用了上述新漏洞,以及一个编号为CVE-2025-30406的旧漏洞——这是一个本地文件包含漏洞,本地攻击者可利用该漏洞在无需身份验证的情况下访问系统文件。
硬编码加密密钥漏洞原理
借助Gladinet提供的入侵指标,Huntress的研究人员成功定位该漏洞的触发位置,并厘清了威胁者的利用方式。
研究发现,该漏洞根源在于Gladinet CentreStack与Triofox两款产品对AES加密算法的自定义实现环节——加密密钥与初始化向量(IV)被硬编码在GladCtrl64.dll文件中,攻击者可轻易提取。
具体而言,密钥值由两段固定的100字节中日文文本字符串生成,且所有产品安装实例中的该字符串完全一致。
漏洞的核心触发点在于对filesvr.dn处理器的处理逻辑:该处理器会使用上述静态密钥对t参数(即访问令牌)进行解密操作。
任何获取这些密钥的攻击者,都可解密包含文件路径、用户名、密码及时间戳等信息的访问令牌,甚至能伪造令牌冒充合法用户,向服务器发送指令以读取磁盘中的任意文件。
研究人员指出:“由于这些密钥永久固定不变,我们只需从内存中提取一次,就能用其解密服务器生成的所有令牌;更危险的是,攻击者还能利用密钥自行加密生成恶意令牌。”
Huntress观测到,攻击者会利用硬编码AES密钥伪造访问令牌,并将令牌的时间戳设置为9999年,以此实现令牌永久有效。
随后,攻击者会向服务器发起请求,获取web.config配置文件。该文件中包含machineKey密钥,攻击者可借助此密钥,通过视图状态反序列化漏洞触发远程代码执行。
开发活动
目前,除已确认的攻击源IP地址147.124.216[.]205外,相关攻击的具体归属组织尚未明确。
在攻击目标方面,Huntress证实,截至12月10日,已有来自医疗、科技等多个行业的9家机构遭到攻击。研究人员建议,Gladinet CentreStack与Triofox的用户应尽快将产品升级至12月8日发布的16.12.10420.56791版本,同时更换系统的machineKey密钥。
此外,用户还应扫描系统日志,排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——该字符串与加密后的文件路径相关联,是判定系统是否遭入侵的唯一可靠指标。
目前,Huntress已在其发布的报告中提供漏洞缓解指导方案,同时附上相关入侵指标,供安全防护人员用于加固防护体系,或排查自身系统是否已遭到入侵。
文章来源自:https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/如若转载,请注明原文地址
