Active Attacks Exploit Gladinets Hard-Coded Keys for Unauthorized Access and Code Execution

Exploitation de Clés Cryptographiques Gravées dans le Logiciel pour un Accès Non Autorisé

Des acteurs malveillants exploitent activement une faille de sécurité dans les produits CentreStack et Triofox de Gladinet, résultant de l’utilisation de clés cryptographiques gravées dans le code. Cette vulnérabilité permet aux attaquants d’accéder au fichier web.config, ouvrant la voie à des attaques de désérialisation et à l’exécution de code à distance.

Points Clés :

• Cause de la Vulnérabilité : La fonction GenerateSecKey() dans GladCtrl64.dll génère des clés cryptographiques statiques. Ces clés sont utilisées pour chiffrer les tickets d’accès contenant des informations d’autorisation (nom d’utilisateur et mot de passe).
• Conséquences : Les attaquants peuvent déchiffrer ou forger des tickets d’accès pour accéder à des fichiers sensibles comme web.config. Ils peuvent ensuite utiliser la clé machine de ce fichier pour effectuer des attaques de désérialisation ViewState et exécuter du code à distance.
• Méthode d’Attaque : Les attaques sont réalisées via des requêtes URL spécialement conçues vers le point de terminaison /storage/filesvr.dn. Ces requêtes peuvent laisser les champs nom d’utilisateur et mot de passe vides, forçant l’application à utiliser l’identité du pool d’applications IIS. Le champ horodatage du ticket est réglé à une valeur élevée (9999), créant ainsi un ticket d’accès qui n’expire jamais.
• Impact : Au moins neuf organisations, dans des secteurs variés tels que la santé et la technologie, ont été affectées. Les attaques proviennent de l’adresse IP 147.124.216.205 et tentent de chaîner cette nouvelle vulnérabilité avec une faille précédemment divulguée (CVE-2025-11371) pour obtenir la clé machine.

Vulnérabilités :

• Clés cryptographiques gravées dans le code : Permet le déchiffrement ou la falsification de tickets d’accès et l’accès à des fichiers sensibles.
• Désérialisation ViewState et exécution de code à distance : Exploitation possible après avoir obtenu la clé machine à partir du fichier web.config.
• CVE potentiels mentionnés dans l’article (à confirmer s’ils sont directement liés à cette exploitation) :
  • CVE-2025-11371 (mentionné comme étant chaîné avec la nouvelle vulnérabilité)
  • CVE-2025-30406 (une autre vulnérabilité précédemment divulguée dans les mêmes produits)
• Aucun identifiant CVE n’a été attribué à cette vulnérabilité spécifique au moment de la publication de l’article.

Recommandations :

• Mise à jour Immédiate : Les organisations utilisant CentreStack et Triofox doivent mettre à jour vers la dernière version disponible (16.12.10420.56791), publiée le 8 décembre 2025.
• Surveillance des Journaux : Scanner les journaux à la recherche de la chaîne "vghpI7EToZUDIZDdprSubL3mTZ2", qui représente le chemin du fichier web.config chiffré.
• Rotation de la Clé Machine : En cas de détection d’indicateurs de compromission, il est impératif de faire pivoter la clé machine via le Gestionnaire IIS. La procédure implique la sauvegarde du fichier web.config, la génération de nouvelles clés machine et l’application des modifications, suivie d’un redémarrage d’IIS.

Source