黑客利用 Gladinet CentreStack 加密漏洞發起遠程代碼執行攻擊

黑客正針對兩款遠程文件安全訪問共享產品——CentreStack與Triofox發起攻擊，其所用的突破口，是這兩款產品加密算法實現過程中一個此前未被公開披露的全新漏洞。

安全研究人員發出警告，攻擊者可借助該漏洞獲取硬編碼加密密鑰，進而實現遠程代碼執行。盡管該新型加密漏洞目前尚未獲得官方漏洞編號，但Gladinet方面已向客戶推送相關通知，建議用戶將產品更新至11月29日發布的最新版本。該公司同時向客戶提供了一套入侵指標，表明該漏洞已被用于野外攻擊。

托管式網絡安全平臺Huntress的安全研究人員證實，目前至少有9家機構遭到攻擊。攻擊者在攻擊中同時利用了上述新漏洞，以及一個編號為CVE-2025-30406的舊漏洞——這是一個本地文件包含漏洞，本地攻擊者可利用該漏洞在無需身份驗證的情況下訪問系統文件。

硬編碼加密密鑰漏洞原理

借助Gladinet提供的入侵指標，Huntress的研究人員成功定位該漏洞的觸發位置，并厘清了威脅者的利用方式。

研究發現，該漏洞根源在于Gladinet CentreStack與Triofox兩款產品對AES加密算法的自定義實現環節——加密密鑰與初始化向量（IV）被硬編碼在GladCtrl64.dll文件中，攻擊者可輕易提取。

具體而言，密鑰值由兩段固定的100字節中日文文本字符串生成，且所有產品安裝實例中的該字符串完全一致。

漏洞的核心觸發點在于對filesvr.dn處理器的處理邏輯：該處理器會使用上述靜態密鑰對t參數（即訪問令牌）進行解密操作。

任何獲取這些密鑰的攻擊者，都可解密包含文件路徑、用戶名、密碼及時間戳等信息的訪問令牌，甚至能偽造令牌冒充合法用戶，向服務器發送指令以讀取磁盤中的任意文件。

研究人員指出：“由于這些密鑰永久固定不變，我們只需從內存中提取一次，就能用其解密服務器生成的所有令牌；更危險的是，攻擊者還能利用密鑰自行加密生成惡意令牌。”

Huntress觀測到，攻擊者會利用硬編碼AES密鑰偽造訪問令牌，并將令牌的時間戳設置為9999年，以此實現令牌永久有效。

隨后，攻擊者會向服務器發起請求，獲取web.config配置文件。該文件中包含machineKey密鑰，攻擊者可借助此密鑰，通過視圖狀態反序列化漏洞觸發遠程代碼執行。

開發活動

目前，除已確認的攻擊源IP地址147.124.216[.]205外，相關攻擊的具體歸屬組織尚未明確。

在攻擊目標方面，Huntress證實，截至12月10日，已有來自醫療、科技等多個行業的9家機構遭到攻擊。研究人員建議，Gladinet CentreStack與Triofox的用戶應盡快將產品升級至12月8日發布的16.12.10420.56791版本，同時更換系統的machineKey密鑰。

此外，用戶還應掃描系統日志，排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——該字符串與加密后的文件路徑相關聯，是判定系統是否遭入侵的唯一可靠指標。

參考及來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/