主动攻击利用 Gladinet 的硬编码密钥进行未经授权的访问和代码执行

Huntress 警告称，Gladinet 的 CentreStack 和 Triofox 产品中存在一个新的、已被积极利用的漏洞，该漏洞源于使用了硬编码的加密密钥，目前已有九家组织受到影响。

安全研究员布莱恩·马斯特斯表示：“威胁行为者可能会利用这一点来访问 web.config 文件，从而为反序列化和远程代码执行打开方便之门。”

该网络安全公司补充说，使用硬编码的加密密钥可能使攻击者能够解密或伪造访问票据，从而访问诸如 web.config 之类的敏感文件，这些文件可被利用来实现 ViewState 反序列化和远程代码执行。该漏洞尚未分配 CVE 编号。

问题的核心在于“GladCtrl64.dll”中的一个名为“GenerateSecKey()”的函数，该函数用于生成加密密钥，以加密包含授权数据（即用户名和密码）的访问票据，并允许以用户身份访问文件系统（假设凭据有效）。

因为 GenerateSecKey() 函数返回相同的 100 字节文本字符串，而这些字符串用于派生加密密钥，所以密钥永远不会改变，并且可以被利用来解密服务器生成的任何票据，甚至可以加密攻击者选择的票据。

这反过来又为利用此漏洞访问包含有价值数据的文件（例如 web.config 文件）并获取通过 ViewState 反序列化执行远程代码所需的机器密钥打开了大门。

据 Huntress 称，这些攻击采取的是精心构造的 URL 请求形式，目标是“/storage/filesvr.dn”端点，例如以下示例 -

/存储/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu

攻击者将用户名和密码字段留空，导致应用程序回退到 IIS 应用程序池标识。此外，访问票证中的时间戳字段（表示票证的创建时间）被设置为 9999，从而创建了一个永不过期的票证，使攻击者能够无限期地重复使用该 URL 并下载服务器配置。

截至12月10日，已有多达九家机构受到新披露漏洞的影响。这些机构涵盖医疗保健和科技等多个行业。攻击源自IP地址147.124.216[.]205，并试图将先前在同一应用程序中披露的漏洞（CVE-2025-11371）与新漏洞结合起来，以从web.config文件中获取机器密钥。

“攻击者一旦获得密钥，就会执行视图状态反序列化攻击，然后尝试检索执行输出，但失败了，”亨特里斯说。

鉴于该漏洞已被积极利用，使用 CentreStack 和 Triofox 的组织应 更新至最新版本 16.12.10420.56791，该版本于 2025 年 12 月 8 日发布。此外，建议扫描日志，查找字符串“vghpI7EToZUDIZDdprSubL3mTZ2”，该字符串是 web.config 文件路径的加密表示形式。

如果检测到入侵指标 (IoC)，则必须按照以下步骤轮换机器密钥-

• 在 Centrestack 服务器上，转到 Centrestack 安装文件夹 C:\Program Files (x86)\Gladinet Cloud Enterprise\root
• 备份 web.config 文件
• 打开 IIS 管理器
• 导航至“站点”->“默认网站”
• 在 ASP.NET 部分，双击“机器密钥”。
• 点击右侧窗格中的“生成密钥”
• 点击“应用”将其保存到 root\web.config 文件。
• 对所有工作节点重复相同步骤后，重启 IIS

此次发现的漏洞是自今年年初以来，CentreStack 和 Triofox 中第三个被恶意利用的漏洞，此前已发现CVE-2025-30406和CVE-2025-11371 两个漏洞。Huntress 告诉 The Hacker News，此次攻击活动很可能是同一攻击者所为。

Huntress 高级威胁搜寻与响应分析师 Anna Pham 表示：“我们不能断定是同一威胁行为者，但有强有力的间接证据表明两者是同一人。该威胁行为者将 Gladinet 的三个漏洞串联起来，精心策划了一次攻击，并在成功远程代码执行 (RCE) 后，试图利用 CVE-2025-11371 进行数据窃取。这是一个预先构建的工作流程，表明攻击者之前就已熟悉这些漏洞利用方法。至少，攻击者对 Gladinet 的漏洞历史非常了解。”

漏洞现已追踪编号为 CVE-2025-14611#

该硬编码加密方案漏洞已被分配 CVE 编号CVE-2025-14611（CVSS 评分：7.1）。美国网络安全和基础设施安全局 (CISA) 已将该漏​​洞添加到其已知已利用漏洞 ( KEV ) 目录中，并要求联邦机构在 2026 年 1 月 5 日之前应用修复程序。

美国网络安全和基础设施安全局 (CISA) 表示：“Gladinet CentreStack 和 TrioFox 在其 AES 加密方案的实现中存在硬编码加密密钥漏洞。该漏洞会降低可能利用此漏洞的公共暴露端点的安全性，并且在收到未经身份验证的特制请求时，攻击者可以随意包含本地文件。”

（本文于2025年12月16日发布后进行了更新，添加了有关CVE的详细信息。）