Huntress advierte sobre una nueva vulnerabilidad explotada activamente en los productos CentreStack y Triofox de Gladinet derivada del uso de claves criptográficas codificadas que han afectado a nueve organizaciones hasta ahora.
“Los actores de amenazas pueden potencialmente propasarse de esto como una forma de conseguir al archivo web.config, abriendo la puerta a la deserialización y ejecución remota de código”, dijo el investigador de seguridad Bryan Masters.
El uso de claves criptográficas codificadas podría permitir a los actores de amenazas descifrar o falsificar tickets de ataque, permitiéndoles conseguir a archivos confidenciales como web.config que pueden explotarse para conseguir la deserialización de ViewState y la ejecución remota de código, añadió la empresa de ciberseguridad.
En esencia, el problema tiene su origen en una función denominada “GenerateSecKey()” presente en “GladCtrl64.dll” que se utiliza para suscitar las claves criptográficas necesarias para resumir los tickets de ataque que contienen datos de autorización (es proponer, nombre de favorecido y contraseña) y permitir el ataque al sistema de archivos como favorecido, suponiendo que las credenciales sean válidas.
Adecuado a que la función GenerateSecKey() devuelve las mismas cadenas de texto de 100 bytes y estas cadenas se utilizan para derivar las claves criptográficas, las claves nunca cambian y pueden estar de moda como armas para descifrar cualquier ticket generado por el servidor o incluso resumir uno que elija el atacante.
Esto, a su vez, abre la puerta a un escena en el que se puede explotar para conseguir a archivos que contienen datos valiosos, como el archivo web.config, y obtener la esencia de máquina necesaria para realizar la ejecución remota de código mediante la deserialización de ViewState.
Los ataques, según Huntress, toman la forma de solicitudes de URL especialmente diseñadas al punto final “/storage/filesvr.dn”, como se muestra a continuación:
/almacenamiento/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Se ha descubierto que los esfuerzos de ataque dejan los campos Nombre de favorecido y Contraseña en blanco, lo que hace que la aplicación recurra a la Identidad del corro de aplicaciones de IIS. Es más, el campo de marca de tiempo en el ticket de ataque, que se refiere a la hora de creación del ticket, se establece en 9999, lo que crea efectivamente un ticket que nunca caduca, lo que permite a los actores de amenazas reutilizar la URL indefinidamente y descargar la configuración del servidor.
Hasta el 10 de diciembre, hasta nueve organizaciones se habían pasado afectadas por la descompostura recientemente revelada. Estas organizaciones pertenecen a una amplia tonalidad de sectores, como la vitalidad y la tecnología. Los ataques se originan en la dirección IP 147.124.216(.)205 e intentan encadenar una descompostura previamente revelada en las mismas aplicaciones (CVE-2025-11371) con el nuevo exploit para conseguir a la esencia de la máquina desde el archivo web.config.
“Una vez que el atacante pudo obtener las claves, realizó un ataque de deserialización de estado de audiencia y luego intentó recuperar el resultado de la ejecución, lo cual falló”, dijo Huntress.
A la luz de la explotación activa, las organizaciones que utilizan CentreStack y Triofox deben renovar a la última lectura, 16.12.10420.56791, lanzazo el 8 de diciembre de 2025. Encima, se recomienda escanear los registros para detectar la presencia de la esclavitud “vghpI7EToZUDIZDdprSubL3mTZ2”, que es la representación cifrada de la ruta del archivo web.config.
En caso de que se detecten indicadores o compromiso (IoC), es imperativo que se gire la esencia de la máquina siguiendo los pasos a continuación:
- En el servidor de Centrestack, vaya a la carpeta de instalación de Centrestack C:Program Files (x86)Gladinet Cloud Enterpriseroot
- Hacer una copia de seguridad de web.config
- Brindar el Administrador de IIS
- Vaya a Sitios -> Sitio web predeterminado
- En la sección ASP.NET, haga doble clic en Secreto de máquina
- Haga clic en ‘Difundir claves’ en el panel derecho
- Haga clic en Aplicar para guardarlo en rootweb.config
- Reinicie IIS luego de repetir el mismo paso para todos los nodos trabajadores
