Huntress cảnh báo về một lỗ hổng mới đang bị khai thác tích cực trong các sản phẩm CentreStack và Triofox của Gladinet, xuất phát từ việc sử dụng các khóa mã hóa cứng (hard-coded cryptographic keys) đã ảnh hưởng đến chín tổ chức cho đến nay.
Nhà nghiên cứu bảo mật Bryan Masters cho biết: “Các tác nhân đe dọa có thể lạm dụng điều này để truy cập file web.config, mở đường cho deserialization và remote code execution.”
Việc sử dụng các khóa mã hóa cứng (hard-coded cryptographic keys) có thể cho phép các tác nhân đe dọa giải mã hoặc giả mạo các access ticket, từ đó truy cập các file nhạy cảm như web.config. Điều này có thể bị khai thác để thực hiện ViewState deserialization và remote code execution, công ty an ninh mạng cho biết thêm.
Về bản chất, vấn đề nằm ở một hàm tên là “GenerateSecKey()” có trong “GladCtrl64.dll”. Hàm này được sử dụng để tạo ra các khóa mã hóa cần thiết nhằm mã hóa các access ticket chứa dữ liệu ủy quyền (tức là Username và Password), và cho phép người dùng truy cập hệ thống file, với giả định rằng thông tin xác thực là hợp lệ.
Vì hàm GenerateSecKey() trả về cùng một chuỗi văn bản dài 100 byte và các chuỗi này được dùng để tạo ra các khóa mã hóa, nên các khóa này không bao giờ thay đổi. Chúng có thể bị lợi dụng để giải mã bất kỳ ticket nào được tạo bởi máy chủ hoặc thậm chí mã hóa một ticket do kẻ tấn công chọn.
Điều này, đến lượt nó, mở ra một kịch bản mà ở đó lỗ hổng có thể bị khai thác để truy cập các file chứa dữ liệu giá trị, chẳng hạn như file web.config, và lấy được machine key cần thiết để thực hiện remote code execution thông qua ViewState deserialization.
Chi tiết Tấn Công
Theo Huntress, các cuộc tấn công có dạng các yêu cầu URL được tạo đặc biệt đến endpoint “/storage/filesvr.dn”, như dưới đây:
/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Các nỗ lực tấn công được phát hiện đã bỏ trống các trường Username và Password, khiến ứng dụng phải quay về với IIS Application Pool Identity. Hơn nữa, trường timestamp trong access ticket, vốn chỉ thời gian tạo ticket, được đặt thành 9999, tạo ra một ticket không bao giờ hết hạn. Điều này cho phép các tác nhân đe dọa tái sử dụng URL vô thời hạn và tải về cấu hình máy chủ.
Các Tổ Chức Bị Ảnh Hưởng và Biện Pháp Khắc Phục
Tính đến ngày 10 tháng 12, đã có chín tổ chức bị ảnh hưởng bởi lỗ hổng mới được công bố. Các tổ chức này thuộc nhiều lĩnh vực khác nhau, như y tế và công nghệ. Các cuộc tấn công bắt nguồn từ địa chỉ IP 147.124.216[.]205 và cố gắng kết hợp một lỗ hổng đã được tiết lộ trước đó trong cùng các ứng dụng (CVE-2025-11371) với exploit mới để truy cập machine key từ file web.config.
Huntress cho biết: “Sau khi kẻ tấn công lấy được các khóa, chúng đã thực hiện một cuộc tấn công ViewState deserialization và sau đó cố gắng truy xuất kết quả thực thi, nhưng không thành công.”
Do lỗ hổng đang bị khai thác tích cực, các tổ chức đang sử dụng CentreStack và Triofox nên cập nhật lên phiên bản mới nhất, 16.12.10420.56791, được phát hành vào ngày 8 tháng 12 năm 2025. Ngoài ra, khuyến nghị nên quét log để tìm sự hiện diện của chuỗi “vghpI7EToZUDIZDdprSubL3mTZ2,” đây là chuỗi mã hóa đại diện cho đường dẫn file web.config.
Trong trường hợp phát hiện các indicators or compromise (IoCs), việc xoay vòng machine key là rất cần thiết bằng cách thực hiện các bước sau:
- Trên máy chủ Centrestack, đi tới thư mục cài đặt Centrestack C:\Program Files (x86)\Gladinet Cloud Enterprise\root
- Sao lưu file web.config
- Mở IIS Manager
- Điều hướng đến Sites -> Default Web Site
- Trong phần ASP.NET, nhấp đúp vào Machine Key
- Nhấp vào ‘Generate Keys’ ở ngăn bên phải
- Nhấp Apply để lưu vào root\web.config
- Khởi động lại IIS sau khi lặp lại các bước tương tự cho tất cả các worker node
