A Huntress alertou para uma nova vulnerabilidade ativa que está sendo explorada em produtos da Gladinet, especificamente no CentreStack e no Triofox.
O problema está relacionado ao uso de chaves criptográficas hard-coded, que já comprometeram nove organizações até o momento.
Segundo o pesquisador de segurança Bryan Masters, atacantes podem explorar essa falha para acessar o arquivo web.config, abrindo caminho para ataques de deserialização e execução remota de código (remote code execution).
O uso de chaves fixas permite que invasores decifrem ou forjem tickets de acesso, liberando o acesso a arquivos sensíveis como o web.config e possibilitando a exploração do ViewState para execução remota.
O cerne da falha está em uma função chamada "GenerateSecKey()", presente na biblioteca "GladCtrl64.dll".
Ela gera as chaves criptográficas usadas para criptografar os tickets de acesso que contêm dados de autorização, como usuário e senha, possibilitando o acesso ao sistema de arquivos com essas credenciais.
Contudo, a função sempre retorna a mesma sequência de 100 bytes, resultando em chaves estáticas e reutilizáveis para descriptografia ou criptografia dos tickets.
Isso cria um cenário em que invasores podem acessar arquivos importantes, incluindo o web.config, e extrair a machine key necessária para realizar ataques de deserialização no ViewState e execução remota de código.
De acordo com a Huntress, os ataques ocorrem por meio de requisições especialmente maliciosas enviadas ao endpoint "/storage/filesvr.dn", utilizando URLs que contêm uma string criptografada específica.
Durante os ataques, os campos Username e Password no ticket ficam vazios, fazendo com que a aplicação utilize as credenciais do IIS Application Pool Identity.
Além disso, o campo de timestamp do ticket é fixado em 9999, gerando tickets que nunca expiram e permitindo o reuso contínuo da URL para baixar a configuração do servidor.
Até 10 de dezembro, nove organizações de setores variados, como saúde e tecnologia, foram afetadas por essa vulnerabilidade.
As investidas se originam do IP 147.124.216[.]205 e tentam combinar essa falha com outra previamente divulgada (
CVE-2025-11371
) para obter a machine key no web.config.
Após capturar as chaves, os atacantes realizam a deserialização do ViewState para executar código.
A Huntress confirmou que a tentativa de capturar o resultado da execução falhou, mas o potencial para exploração existe.
Diante da exploração ativa, a recomendação para usuários do CentreStack e Triofox é atualizar imediatamente para a versão 16.12.10420.56791, disponibilizada em 8 de dezembro de 2025.
Também é aconselhável escanear os logs em busca da string “vghpI7EToZUDIZDdprSubL3mTZ2”, que corresponde ao caminho criptografado do arquivo web.config usado nos ataques.
Caso sejam encontrados indicadores de comprometimento (IoCs), é crucial realizar a rotação da machine key seguindo os passos abaixo:
1. No servidor CentreStack, acesse a pasta de instalação: C:\Program Files (x86)\Gladinet Cloud Enterprise\root
2. Faça backup do arquivo web.config
3. Abra o IIS Manager
4. Navegue até Sites > Default Web Site
5. Na seção ASP.NET, clique duas vezes em Machine Key
6. Na lateral direita, clique em “Generate Keys”
7. Clique em Aplicar para salvar no root\web.config
8. Reinicie o IIS e repita o procedimento em todos os nós (worker nodes)
Essa medida ajuda a mitigar o risco de exploração usando as chaves antigas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...