黑客利用 Gladinet CentreStack 加密漏洞發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊

黑客正針對(duì)兩款遠(yuǎn)程文件安全訪問(wèn)共享產(chǎn)品——CentreStack與Triofox發(fā)起攻擊，其所用的突破口，是這兩款產(chǎn)品加密算法實(shí)現(xiàn)過(guò)程中一個(gè)此前未被公開(kāi)披露的全新漏洞。

安全研究人員發(fā)出警告，攻擊者可借助該漏洞獲取硬編碼加密密鑰，進(jìn)而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。盡管該新型加密漏洞目前尚未獲得官方漏洞編號(hào)，但Gladinet方面已向客戶推送相關(guān)通知，建議用戶將產(chǎn)品更新至11月29日發(fā)布的最新版本。該公司同時(shí)向客戶提供了一套入侵指標(biāo)，表明該漏洞已被用于野外攻擊。

托管式網(wǎng)絡(luò)安全平臺(tái)Huntress的安全研究人員證實(shí)，目前至少有9家機(jī)構(gòu)遭到攻擊。攻擊者在攻擊中同時(shí)利用了上述新漏洞，以及一個(gè)編號(hào)為CVE-2025-30406的舊漏洞——這是一個(gè)本地文件包含漏洞，本地攻擊者可利用該漏洞在無(wú)需身份驗(yàn)證的情況下訪問(wèn)系統(tǒng)文件。

硬編碼加密密鑰漏洞原理

借助Gladinet提供的入侵指標(biāo)，Huntress的研究人員成功定位該漏洞的觸發(fā)位置，并厘清了威脅者的利用方式。

研究發(fā)現(xiàn)，該漏洞根源在于Gladinet CentreStack與Triofox兩款產(chǎn)品對(duì)AES加密算法的自定義實(shí)現(xiàn)環(huán)節(jié)——加密密鑰與初始化向量（IV）被硬編碼在GladCtrl64.dll文件中，攻擊者可輕易提取。

具體而言，密鑰值由兩段固定的100字節(jié)中日文文本字符串生成，且所有產(chǎn)品安裝實(shí)例中的該字符串完全一致。

漏洞的核心觸發(fā)點(diǎn)在于對(duì)filesvr.dn處理器的處理邏輯：該處理器會(huì)使用上述靜態(tài)密鑰對(duì)t參數(shù)（即訪問(wèn)令牌）進(jìn)行解密操作。

任何獲取這些密鑰的攻擊者，都可解密包含文件路徑、用戶名、密碼及時(shí)間戳等信息的訪問(wèn)令牌，甚至能偽造令牌冒充合法用戶，向服務(wù)器發(fā)送指令以讀取磁盤(pán)中的任意文件。

研究人員指出：“由于這些密鑰永久固定不變，我們只需從內(nèi)存中提取一次，就能用其解密服務(wù)器生成的所有令牌；更危險(xiǎn)的是，攻擊者還能利用密鑰自行加密生成惡意令牌。”

Huntress觀測(cè)到，攻擊者會(huì)利用硬編碼AES密鑰偽造訪問(wèn)令牌，并將令牌的時(shí)間戳設(shè)置為9999年，以此實(shí)現(xiàn)令牌永久有效。

隨后，攻擊者會(huì)向服務(wù)器發(fā)起請(qǐng)求，獲取web.config配置文件。該文件中包含machineKey密鑰，攻擊者可借助此密鑰，通過(guò)視圖狀態(tài)反序列化漏洞觸發(fā)遠(yuǎn)程代碼執(zhí)行。

開(kāi)發(fā)活動(dòng)

目前，除已確認(rèn)的攻擊源IP地址147.124.216[.]205外，相關(guān)攻擊的具體歸屬組織尚未明確。

在攻擊目標(biāo)方面，Huntress證實(shí)，截至12月10日，已有來(lái)自醫(yī)療、科技等多個(gè)行業(yè)的9家機(jī)構(gòu)遭到攻擊。研究人員建議，Gladinet CentreStack與Triofox的用戶應(yīng)盡快將產(chǎn)品升級(jí)至12月8日發(fā)布的16.12.10420.56791版本，同時(shí)更換系統(tǒng)的machineKey密鑰。

此外，用戶還應(yīng)掃描系統(tǒng)日志，排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——該字符串與加密后的文件路徑相關(guān)聯(lián)，是判定系統(tǒng)是否遭入侵的唯一可靠指標(biāo)。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/