Huntress advierte que se está explotando activamente una nueva vulnerabilidad en los productos CentreStack y Triofox de Gladinet debido al uso de claves de cifrado codificadas, que afecta a nueve organizaciones hasta el momento.
«Un atacante podría aprovechar esto como una forma de acceder al archivo web.config, abriendo potencialmente la puerta a la deserialización y ejecución remota de código», dijo el investigador de seguridad Brian Masters.
Las claves criptográficas codificadas pueden permitir a un atacante descifrar o falsificar tickets de acceso, obteniendo acceso a archivos confidenciales como Web.config, que podrían explotarse para la deserialización de ViewState o la ejecución remota de código, añadió la empresa de ciberseguridad.
El quid de la cuestión radica en una función denominada «GenerateSecKey()» ubicada en «GladCtrl64.dll». Esta función se utiliza para cifrar el ticket de acceso que contiene los datos de autenticación (nombre de usuario y contraseña) y generar la clave de cifrado necesaria para permitirle acceder al sistema de archivos como usuario, suponiendo que las credenciales sean válidas.
Debido a que la función GenerateSecKey() devuelve las mismas cadenas de texto de 100 bytes y estas cadenas se utilizan para derivar las claves criptográficas, las claves nunca cambian y pueden usarse como arma para descifrar tickets generados por el servidor o para cifrar tickets que elija el atacante.
Esto abre la puerta a un escenario en el que los archivos que contienen datos valiosos, como los archivos web.config, pueden explotarse para obtener la clave de máquina necesaria para la ejecución remota de código mediante la deserialización de ViewState.
Según Huntress, el ataque toma la forma de una solicitud URL especialmente diseñada al punto final «/storage/filesvr.dn», similar a la siguiente:
/almacenamiento/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Se descubrió que este ataque dejaba los campos de nombre de usuario y contraseña en blanco, lo que provocaba que la aplicación volviera a la identidad del grupo de aplicaciones de IIS. Además, el campo de marca de tiempo del ticket de acceso, que indica cuándo se creó el ticket, está configurado en 9999, lo que crea efectivamente un ticket que nunca caduca y permite a un atacante reutilizar la URL indefinidamente para descargar configuraciones del servidor.
Al 10 de diciembre, hay nueve organizaciones afectadas por la falla recientemente revelada. Estas organizaciones provienen de una amplia gama de sectores, incluidos el sanitario y el tecnológico. El ataque se origina en la dirección IP 147.124.216(.)205 e intenta encadenar una falla previamente revelada (CVE-2025-11371) en la misma aplicación con un nuevo exploit que accede a claves de máquina desde el archivo web.config.
«Una vez que el atacante tuvo la clave, intentó realizar un ataque de deserialización del estado de vista y recuperar el resultado resultante, pero no tuvo éxito», dijo Huntress.
A la luz de la explotación activa, las organizaciones que utilizan CentreStack y Triofox deben actualizar a la última versión 16.12.10420.56791, lanzada el 8 de diciembre de 2025. Además, recomendamos escanear los registros para detectar la presencia de la cadena «vghpI7EToZUDIZDdprSubL3mTZ2», que es una representación cifrada de la ruta del archivo web.config.
Si se detecta un indicador o compromiso (IoC), es obligatorio rotar la llave de la máquina siguiendo los pasos a continuación.
En el servidor de Centrestack, navegue hasta la carpeta de instalación de Centrestack C:\Program Files (x86)\Gladinet Cloud Enterprise\root. Cree una copia de seguridad de web.config. Abra el Administrador de IIS. Vaya a (Sitios)->(Sitio web predeterminado). En la sección ASP.NET, haga doble clic en la clave de la máquina. Haga clic en (Generar clave) en el panel derecho. Haga clic en (Aplicar) y guárdelo en root\web.config. Repita los mismos pasos para todos los nodos trabajadores y luego reinicie IIS.
Source link
