Tấn công khóa được mã hóa cứng của Gladinet để truy cập trái phép và thực thi mã

[T-X]

Huntress cảnh báo về một lỗ hổng bảo mật mới đang bị khai thác tích cực trong các sản phẩm CentreStack và Triofox của Gladinet, xuất phát từ việc sử dụng các khóa mã hóa được mã hóa cứng, và đến nay đã ảnh hưởng đến chín tổ chức.

"Các tác nhân đe dọa có thể lợi dụng điều này để truy cập vào tệp web.config, mở ra cơ hội giải mã dữ liệu và thực thi mã từ xa", nhà nghiên cứu bảo mật Bryan Masters cho biết.

Công ty an ninh mạng cho biết thêm, việc sử dụng các khóa mã hóa được mã hóa cứng có thể cho phép các tác nhân đe dọa giải mã hoặc làm giả vé truy cập, cho phép chúng truy cập vào các tệp nhạy cảm như web.config, từ đó có thể bị khai thác để thực hiện giải mã ViewState và thực thi mã từ xa. Lỗ hổng này hiện chưa được gán mã định danh CVE.

Về bản chất, vấn đề bắt nguồn từ một hàm có tên "GenerateSecKey()" trong "GladCtrl64.dll", được sử dụng để tạo ra các khóa mã hóa cần thiết để mã hóa các thông tin xác thực (ví dụ: Tên người dùng và Mật khẩu) và cho phép truy cập vào hệ thống tệp với tư cách người dùng, giả sử thông tin đăng nhập hợp lệ.

Vì hàm GenerateSecKey() trả về cùng một chuỗi văn bản 100 byte và các chuỗi này được sử dụng để tạo ra các khóa mã hóa, nên các khóa này không bao giờ thay đổi và có thể bị lợi dụng để giải mã bất kỳ vé nào được máy chủ tạo ra hoặc thậm chí mã hóa một vé do kẻ tấn công lựa chọn.

Điều này, đến lượt nó, mở ra khả năng bị lợi dụng để truy cập các tệp chứa dữ liệu quan trọng, chẳng hạn như tệp web.config, và lấy được khóa máy cần thiết để thực hiện thực thi mã từ xa thông qua quá trình giải mã ViewState.

Theo Huntress, các cuộc tấn công có dạng các yêu cầu URL được thiết kế đặc biệt gửi đến điểm cuối "/storage/filesvr.dn", như ví dụ bên dưới:

    /storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu

Các nỗ lực tấn công đã được phát hiện là để trống các trường Tên người dùng và Mật khẩu, khiến ứng dụng phải chuyển sang sử dụng Danh tính Nhóm ứng dụng IIS. Hơn nữa, trường dấu thời gian trong vé truy cập, dùng để chỉ thời gian tạo vé, được đặt thành 9999, tạo ra một vé không bao giờ hết hạn, cho phép kẻ tấn công sử dụng lại URL vô thời hạn và tải xuống cấu hình máy chủ.

Tính đến ngày 10 tháng 12, đã có tới chín tổ chức bị ảnh hưởng bởi lỗ hổng mới được phát hiện. Các tổ chức này thuộc nhiều lĩnh vực khác nhau, chẳng hạn như chăm sóc sức khỏe và công nghệ. Các cuộc tấn công bắt nguồn từ địa chỉ IP 147.124.216[.]205 và cố gắng kết hợp một lỗ hổng đã được phát hiện trước đó trong cùng ứng dụng ( CVE-2025-11371 ) với lỗ hổng mới để truy cập khóa máy từ tệp web.config.

"Sau khi kẻ tấn công có được các khóa, chúng đã thực hiện một cuộc tấn công giải mã trạng thái xem (viewstate deserialization attack) và sau đó cố gắng lấy lại kết quả thực thi, nhưng không thành công," Huntress nói.

Trước tình trạng bị khai thác tích cực, các tổ chức đang sử dụng CentreStack và Triofox nên cập nhật lên phiên bản mới nhất, 16.12.10420.56791, được phát hành vào ngày 8 tháng 12 năm 2025. Ngoài ra, nên quét nhật ký để tìm sự xuất hiện của chuỗi "vghpI7EToZUDIZDdprSubL3mTZ2," đây là dạng mã hóa của đường dẫn tệp web.config.

Trong trường hợp phát hiện các dấu hiệu hoặc sự xâm phạm (IoC), điều bắt buộc là phải xoay khóa máy bằng cách làm theo các bước dưới đây:

    Trên máy chủ Centrestack, hãy truy cập vào thư mục cài đặt Centrestack: C:\Program Files (x86)\Gladinet Cloud Enterprise\root
    Hãy sao lưu tệp web.config.
    Mở Trình quản lý IIS
    Truy cập vào Trang web -> Trang web mặc định
    Trong phần   Đăng nhập để xem liên kết, nhấp đúp vào Machine Key.
    Nhấp vào 'Tạo khóa' ở ngăn bên phải.
    Nhấp vào Áp dụng để lưu vào root\web.config
    Khởi động lại IIS sau khi lặp lại bước tương tự cho tất cả các máy chủ worker.

Diễn biến này khiến nó trở thành lỗ hổng thứ ba trong CentreStack và Triofox bị khai thác tích cực trên thực tế kể từ đầu năm, sau CVE-2025-30406 và CVE-2025-11371. Huntress nói với The Hacker News rằng rất có thể hoạt động này là do một tác nhân tấn công duy nhất thực hiện.

"Chúng tôi không thể khẳng định chắc chắn đó là cùng một nhóm tin tặc, nhưng có bằng chứng gián tiếp rất thuyết phục," Anna Pham, chuyên viên phân tích cấp cao về săn lùng và ứng phó tại Huntress, cho biết. "Nhóm tin tặc này đang kết hợp cả ba lỗ hổng của Gladinet trong một chuỗi tấn công được dàn dựng kỹ lưỡng và cố gắng sử dụng CVE-2025-11371 để đánh cắp dữ liệu sau khi đạt được quyền thực thi mã từ xa (RCE). Đó là một quy trình làm việc được xây dựng sẵn, cho thấy sự quen thuộc với các lỗ hổng này từ những lần sử dụng trước. Ít nhất, bất cứ ai là kẻ tấn công đều có kiến thức sâu rộng về lịch sử các lỗ hổng của Gladinet."