Bilgisayar korsanları, güvenli uzaktan dosya erişimi ve paylaşımı için Gladinet'in CentreStack ve Triofox ürünlerinde bulunan şifreleme algoritmasının uygulanmasında yeni, belgelenmemiş bir güvenlik açığından yararlanıyor.
Araştırmacılar, saldırganların güvenlik sorununu kullanarak sabit kodlu kriptografik anahtarlar elde edebileceği ve uzaktan kod yürütmeyi başarabileceği konusunda uyarıyor.
Yeni kriptografik güvenlik açığının resmi bir tanımlayıcısı olmasa da Gladinet, müşterilerini bu konuda bilgilendirdi ve onlara ürünleri, iletişimin yapıldığı sırada 29 Kasım'da yayımlanan en son sürüme güncellemelerini tavsiye etti.
Şirket ayrıca müşterilere, sorunun vahşi ortamda istismar edildiğini gösteren bir dizi uzlaşma göstergesi (IoC) sağladı.
Yönetilen siber güvenlik platformu Huntress'teki güvenlik araştırmacıları, yeni güvenlik açığından yararlanan saldırılarda hedeflenen en az dokuz kuruluşun yanı sıra, yerel bir saldırganın kimlik doğrulaması olmadan sistem dosyalarına erişmesine olanak tanıyan bir yerel dosya ekleme kusuru olan CVE-2025-30406 olarak izlenen daha eski bir kuruluşun farkındadır.
Huntress araştırmacıları, Gladinet'in IoC'lerini kullanarak kusurun nerede olduğunu ve tehdit aktörlerinin bundan nasıl yararlandığını belirlemeyi başardı.
Huntress, sorunun, şifreleme anahtarının ve Başlatma Vektörünün (IV) GladCtrl64.dll dosyasına sabit kodlandığı ve kolayca elde edilebildiği Gladinet CentreStack ve Triofox'taki AES şifreleme algoritmasının özel uygulamasından kaynaklandığını tespit etti.
Özellikle anahtar değerler, tüm ürün kurulumlarında aynı olan iki statik 100 baytlık Çince ve Japonca metin dizesinden türetilmiştir.
Huntress, kusurun 't' parametresinin (Erişim Bileti) şifresini bu statik anahtarları kullanarak çözen 'filesvr.dn' işleyicisinin işlenmesinde yattığını açıklıyor.
Bu anahtarları çıkaran herhangi biri, dosya yollarını, kullanıcı adlarını, şifreleri ve zaman damgalarını içeren Erişim Biletlerinin şifresini çözebilir veya kullanıcıların kimliğine bürünmek ve sunuculara diskteki herhangi bir dosyayı döndürmeleri talimatını vermek için kendi Biletlerini oluşturabilir.
Araştırmacılar, "Bu anahtarlar asla değişmediğinden, onları bellekten bir kez çıkarıp sunucu tarafından oluşturulan herhangi bir biletin şifresini çözmek veya daha kötüsü kendi biletimizi şifrelemek için kullanabiliriz" diyor.
Huntress, Erişim Biletlerinin sabit kodlu AES anahtarları kullanılarak ve zaman damgasının 9999 yılına ayarlanmasıyla sahte olduğunu, böylece biletin süresinin hiçbir zaman dolmadığını gözlemledi.
Saldırganlar daha sonra sunucunun web.config dosyasını talep etti. MachineKey'i içerdiğinden, onu ViewState seri durumdan çıkarma kusuru yoluyla uzaktan kod yürütmeyi tetiklemek için kullanabildiler.
Saldırgan IP adresi olan 147.124.216[.]205'in yanı sıra, bu saldırılar için özel bir atıf yapılmamıştır.
Hedeflerle ilgili olarak Huntress, 10 Aralık itibarıyla sağlık ve teknoloji de dahil olmak üzere çeşitli sektörlerden dokuz kuruluşu doğruladı.
Gladinet CentreStack ve Triofox kullanıcılarının mümkün olan en kısa sürede 16.12.10420.56791 sürümüne (8 Aralık'ta yayınlandı) yükseltmeleri ve ayrıca makine anahtarlarını döndürmeleri önerilir.
Ek olarak, şifrelenmiş dosya yolu ile ilişkili olan ve güvenliğin ihlal edildiğinin tek güvenilir göstergesi olarak kabul edilen 'vghpI7EToZUDIZDdprSubL3mTZ2' dizesi için günlüklerin taranması önerilir.
Huntress, raporunda, savunucuların çevrelerini korumak veya ihlal edilip edilmediğini belirlemek için kullanabileceği uzlaşma göstergelerinin yanı sıra, hafifletme konusunda rehberlik sağlıyor.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Bilgisayar korsanları uzaktan erişim araçlarını dağıtmak için Triofox antivirüs özelliğini kötüye kullanıyor
Gladinet, dosya paylaşım yazılımında aktif olarak kullanılan sıfır gün düzeltmelerini düzeltiyor
Çin bağlantılı saldırılarda aktif olarak kullanılan kritik React2Shell kusuru
Bilgisayar korsanları web kabukları yerleştirmek için ArrayOS AG VPN kusurundan yararlanıyor
Yeni Windows sıfır günü, 2017'den bu yana 11 eyaletteki bilgisayar korsanlığı grubu tarafından istismar ediliyor
Kaynak: Bleeping Computer