Huntress waarschuwt voor een nieuwe, actief uitgebuite kwetsbaarheid in Gladinet’s CentreStack- en Triofox-producten die voortkomt uit het gebruik van hardgecodeerde cryptografische sleutels die tot nu toe negen organisaties hebben getroffen.
“Bedreigingsactoren kunnen dit mogelijk misbruiken als een manier om toegang te krijgen tot het web.config-bestand, waardoor de deur wordt geopend voor deserialisatie en uitvoering van externe code”, aldus beveiligingsonderzoeker Bryan Masters.
Het gebruik van hardgecodeerde cryptografische sleutels zou cybercriminelen in staat kunnen stellen toegangstickets te decoderen of te vervalsen, waardoor ze toegang krijgen tot gevoelige bestanden zoals web.config die kunnen worden misbruikt om ViewState-deserialisatie en uitvoering van externe code te bereiken, voegde het cyberbeveiligingsbedrijf eraan toe.
In de kern is het probleem geworteld in een functie met de naam “GenerateSecKey()”, aanwezig in “GladCtrl64.dll”, die wordt gebruikt om de cryptografische sleutels te genereren die nodig zijn om toegangstickets met autorisatiegegevens (dat wil zeggen gebruikersnaam en wachtwoord) te coderen en toegang tot het bestandssysteem voor een gebruiker mogelijk te maken, ervan uitgaande dat de inloggegevens geldig zijn.
Omdat de functie GenerateSecKey() dezelfde tekenreeksen van 100 bytes retourneert en deze tekenreeksen worden gebruikt om de cryptografische sleutels af te leiden, veranderen de sleutels nooit en kunnen ze worden gebruikt om elk door de server gegenereerd ticket te ontsleutelen of zelfs een ticket naar keuze van de aanvaller te versleutelen.
Dit opent op zijn beurt de deur naar een scenario waarin het kan worden uitgebuit om toegang te krijgen tot bestanden die waardevolle gegevens bevatten, zoals het web.config-bestand, en om de machinesleutel te verkrijgen die nodig is om code op afstand uit te voeren via ViewState-deserialisatie.
De aanvallen nemen volgens Huntress de vorm aan van speciaal vervaardigde URL-verzoeken naar het “/storage/filesvr.dn” eindpunt, zoals hieronder:
/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Het is gebleken dat de aanvalspogingen de velden Gebruikersnaam en Wachtwoord leeg laten, waardoor de toepassing terugvalt op de IIS Application Pool Identity. Bovendien is het tijdstempelveld in het toegangsticket, dat verwijst naar de aanmaaktijd van het ticket, ingesteld op 9999, waardoor in feite een ticket wordt gecreƫerd dat nooit verloopt, waardoor de bedreigingsactoren de URL voor onbepaalde tijd kunnen hergebruiken en de serverconfiguratie kunnen downloaden.
Sinds 10 december zijn maar liefst negen organisaties getroffen door de nieuw bekendgemaakte fout. Deze organisaties behoren tot een breed scala aan sectoren, zoals de gezondheidszorg en de technologie. De aanvallen zijn afkomstig van het IP-adres 147.124.216(.)205 en proberen een eerder onthulde fout in dezelfde applicaties (CVE-2025-11371) aan elkaar te koppelen met de nieuwe exploit om toegang te krijgen tot de machinesleutel vanuit het web.config-bestand.
“Zodra de aanvaller de sleutels kon bemachtigen, voerden ze een viewstate deserialisatie-aanval uit en probeerden vervolgens de uitvoer van de uitvoering op te halen, wat mislukte”, aldus Huntress.
In het licht van actieve exploitatie moeten organisaties die CentreStack en Triofox gebruiken updaten naar de nieuwste versie, 16.12.10420.56791, uitgebracht op 8 december 2025. Bovendien wordt geadviseerd om logbestanden te scannen op de aanwezigheid van de string “vghpI7EToZUDIZDdprSubL3mTZ2”, wat de gecodeerde representatie is van het web.config bestandspad.
In het geval dat er indicatoren of compromissen (IoC’s) worden gedetecteerd, is het absoluut noodzakelijk dat de machinesleutel wordt geroteerd door de onderstaande stappen te volgen:
- Ga op de Centrestack-server naar de Centrestack-installatiemap C:Program Files (x86)Gladinet Cloud Enterpriseroot
- Maak een back-up van web.config
- Open IIS-beheer
- Navigeer naar Sites -> Standaardwebsite
- Dubbelklik in de sectie ASP.NET op Machinesleutel
- Klik op ‘Sleutels genereren’ in het rechterdeelvenster
- Klik op Toepassen om het op te slaan in rootweb.config
- Start IIS opnieuw nadat u dezelfde stap voor alle werkknooppunten hebt herhaald
