Huntress upozorava na novi talas napada usmjerenih na Gladinet CentreStack instance, s ciljem preuzimanja kriptografskih ključeva i ostvarivanja daljinskog izvršavanja koda.
U sklopu ovih napada, hakeri su iskoristili novu ranjivost u rješenju za mobilni pristup i bezbjedno dijeljenje podataka, navodi kompanija za sajber bezbjednost.
Prema Huntressu, iskorišćena greška odnosi se na nesigurnu kriptografiju koja omogućava napadačima pristup fajlu „web.config“, koji sadrži kriptografski ključ „machineKey“.
Analiza napada koju je sproveo Huntress pokazala je da hakeri zloupotrebljavaju činjenicu da se CentreStack oslanja na iste dvije niske od po 100 bajtova za generisanje kriptografskih ključeva.
Kako navodi kompanija, napadač koji uspije da preuzme ove kriptografske informacije može ih koristiti i za buduće operacije enkripcije i dekripcije, čime se kompromituje cijela instanca.
„Pošto se ovi ključevi nikada ne mijenjaju, mogli smo ih jednom izvući iz memorije i koristiti za dekripciju bilo kojeg tiketa koji generiše server ili, što je još gore, za enkripciju sopstvenih“, navodi Huntress.
Korišćenjem ove dvije niske, svaki napadač može kreirati zahtjeve za dobijanje machineKey ključeva iz fajla „web.config“, pri čemu sistem takve zahtjeve smatra pouzdanim.
Nakon toga, sa preuzetim machineKey ključevima, napadač može zloupotrijebiti ASPX ViewState mehanizam u deserializacionim napadima, falsifikovati ViewState payloadove i ostvariti daljinsko izvršavanje koda.
Problemi sa ViewState deserializacijom već su ove godine iskorišćeni u napadima koji su ciljali dvije druge CentreStack ranjivosti, CVE-2025-30406 i CVE-2025-11371.
Huntress je takođe otkrio da su napadači prilagodili svoje maliciozne zahtjeve kako bi kreirali tiket koji nikada ne ističe, što im praktično omogućava da neograničeno koriste isti URL za preuzimanje konfiguracionog fajla.
„Zaključno sa 10. decembrom, identifikovali smo devet organizacija koje su pogođene ovom ranjivošću. Te organizacije dolaze iz različitih sektora, od zdravstva do tehnologije“, navodi Huntress.
Za ovu ranjivost još nije objavljen CVE identifikator, a Gladinet nije podijelio tehničke detalje. Ipak, kompanija je krajem novembra obavijestila korisnike o bezbjednosnom problemu koji je riješen novim CentreStack ažuriranjem (verzija 16.11.10417.56762).
Organizacijama se preporučuje da ažuriraju CentreStack i Triofox na najnoviju verziju, odnosno verziju 16.12.10420.56791, objavljenu 10. decembra, kao i da provjere indikatore kompromitacije (IoC) koje su objavili Huntress i Gladinet.
Izvor: SecurityWeek
