Huntress advierte sobre una nueva vulnerabilidad explotada activamente en los productos CentreStack y Triofox de Gladinet debido al uso de claves criptográficas codificadas que ha afectado a nueve organizaciones hasta la fecha.
“Los actores de amenazas pueden potencialmente abusar de esto para acceder al archivo web.config, abriendo la puerta a la deserialización y la ejecución remota de código”, dijo el investigador de seguridad Bryan Masters.
El uso de claves criptográficas codificadas podría permitir a los actores de amenazas descifrar o falsificar tickets de acceso, dándoles acceso a archivos confidenciales como web.config, que pueden explotarse para lograr la deserialización de ViewState y la ejecución remota de código, añadió la empresa de ciberseguridad.
En esencia, el problema radica en una función llamada GenerateSecKey() en GladCtrl64.dll, que se utiliza para generar las claves criptográficas necesarias para cifrar los tickets de acceso con credenciales de autorización (por ejemplo, nombre de usuario y contraseña) y permitir el acceso al sistema de archivos como usuario, siempre que las credenciales sean válidas.
Debido a que la función GenerateSecKey() devuelve las mismas cadenas de texto de 100 bytes y éstas se utilizan para derivar las claves criptográficas, las claves nunca cambian y pueden usarse como arma para descifrar cualquier ticket generado por el servidor o incluso cifrar un ticket elegido por el atacante.
Esto, a su vez, abre la puerta a un escenario en el que se puede explotar para acceder a archivos que contienen datos valiosos, como el archivo web.config, y para obtener la clave de máquina necesaria para la ejecución remota de código mediante la deserialización de ViewState.
Según Huntress, los ataques toman la forma de solicitudes de URL especialmente diseñadas al punto final /storage/filesvr.dn, como las siguientes:
/almacenamiento/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDpleYESO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Se descubrió que los intentos de ataque provocaron que los campos Nombre de usuario y Contraseña se dejaran en blanco, lo que provocó que la aplicación volviera a la identidad del grupo de aplicaciones IIS. Además, el campo de marca de tiempo en el ticket de acceso, que se relaciona con la hora de creación del ticket, se establece en 9999, lo que crea efectivamente un ticket que nunca caduca, lo que permite a los actores de amenazas reutilizar la URL y descargar la configuración del servidor de forma indefinida.
Hasta el 10 de diciembre, hasta nueve organizaciones se vieron afectadas por la vulnerabilidad recién descubierta. Estas organizaciones pertenecen a una amplia gama de sectores, como la salud y la tecnología. Los ataques se originan en la dirección IP 147.124.216(.)205 e intentan asociar una falla previamente revelada en las mismas aplicaciones (CVE-2025-11371) con el nuevo exploit para acceder a la clave de la máquina a través del archivo web.config.
“Una vez que el atacante pudo obtener las claves, realizó un ataque de deserialización de estado de vista y luego intentó recuperar el resultado de la ejecución, pero falló”, dijo Huntress.
Dada la explotación activa, las organizaciones que utilizan CentreStack y Triofox deben actualizar a la última versión, 16.12.10420.56791, lanzada el 8 de diciembre de 2025. Además, se recomienda escanear los registros para detectar la presencia de la cadena “vghpI7EToZUDIZDdprSubL3mTZ2”, que es la representación cifrada de la ruta del archivo web.config.
En caso de que se detecten Indicadores o Compromisos (IoC), es imperativo girar la llave de la máquina realizando los siguientes pasos:
- En el servidor de Centrestack, vaya a la carpeta de instalación de Centrestack C:\Program Files (x86)\Gladinet Cloud Enterprise\root
- Hacer una copia de seguridad de web.config
- Abrir el Administrador de IIS
- Navegue a Sitios -> Sitio web predeterminado
- En la sección ASP.NET, haga doble clic en Claves de máquina
- Haga clic en “Generar clave” en el panel derecho.
- Haga clic en Aplicar para guardarlo en root\web.config
- Reinicie IIS después de repetir el mismo paso para todos los nodos trabajadores
About The Author
