Kihasznált kriptográfiai sebezhetőség
A Gladinet CentreStack és Triofox termékekben felfedezett biztonsági sérülékenység a Huntress kutatói szerint aktív kihasználás alatt van, ahol a támadók a termékek AES titkosítási megvalósításában található, beépített, statikus kódolt kriptográfiai kulcsokat használják ki. Ez a gyenge pont lehetővé teszi, hogy a támadók hozzáférjenek a web.config fájlhoz, majd onnan távoli kódvégrehajtási támadásokkal kompromittálják a rendszert. A probléma különösen veszélyes, mert a CentreStack és Triofox szoftverek gyakran az internetre néző szervereken futnak, így a támadók könnyedén célba vehetik őket anélkül, hogy hitelesítési adatokra vagy előzetes hozzáférésre lenne szükségük.
A sérülékenység lényege, hogy a Gladinet termékek a titkosítási kulcsokat és inicializációs vektorokat nem dinamikusan generálják, hanem statikus, beépített értékeket használnak, amelyek könnyen kinyerhetők a GladCtrl64.dll fájlból. Ez azt jelenti, hogy bármely támadó, aki ismeri ezeket az értékeket, képes hamisítvány Access Ticket-eket létrehozni, és így jogtalanul hozzáférni a rendszer fájljaihoz, vagy akár távoli kódvégrehajtásra is sor kerülhet. A Huntress szerint eddig legalább kilenc szervezetet érintettek a támadások, többek között egészségügyi és technológiai szektorbeli cégeket, ami azt mutatja, hogy a sérülékenység nemcsak elméleti veszély, hanem aktívan kizsákmányolt fenyegetés.
A Gladinet már kiadott javított verziókat, a CentreStack 16.12.10420.56791 és a Triofox 16.4.10317.56372 verziói már tartalmazzák a szükséges frissítéseket. A vezetőknek és a kiberbiztonsági csapatoknak azonban nem elég csak a frissítés, fontos a rendszeres ellenőrzés, a gyanús tevékenységek monitorozása, valamint a gépi kulcsok cseréje is. A Huntress külön kiemeli, hogy a támadók gyakran láncolják a sérülékenységeket, először a CVE-2025-11371 (Local File Inclusion) hibát használják ki a web.config fájl kinyerésére, majd a kapott kulcsokkal végrehajtják a távoli kódot. Ez a taktika azt mutatja, hogy a támadók mély ismeretekkel rendelkeznek a Gladinet termékekről, és aktívan keresik a legkisebb gyenge pontokat is.
A sérülékenység nemcsak technikai, hanem üzleti kockázatot is jelent. A CentreStack és Triofox termékek gyakran Managed Service Provider környezetben futnak, így egy sikeres támadás nemcsak a saját rendszereket, hanem az ügyfelek adatait és bizalmát is veszélyezteti. A Huntress szerint a támadások fő motivációja jelenleg anyagi haszon, de nem zárható ki, hogy állami támogatású csoportok is ki fogják használni a hibát a jövőben.
