Investigadores de segurança alertam para a exploração ativa de uma vulnerabilidade não documentada nos produtos CentreStack e Triofox da Gladinet, utilizados para acesso e partilha segura de ficheiros remotos. A falha reside na implementação do algoritmo criptográfico, permitindo que atacantes obtenham chaves estáticas ("hardcoded") para comprometer sistemas e alcançar a execução remota de código (RCE).
O problema foi identificado e analisado pela equipa da Huntress, que já confirmou ataques a pelo menos nove organizações em setores como a saúde e tecnologia. Além desta nova vulnerabilidade criptográfica, os atacantes estão também a aproveitar uma falha mais antiga, identificada como CVE-2025-30406, que permite a inclusão de ficheiros locais.
Chaves "escondidas" em texto simples
O cerne da questão encontra-se na forma como a encriptação AES foi implementada nestes produtos. Segundo a análise técnica, as chaves de encriptação e o Vetor de Inicialização (IV) foram codificados diretamente dentro do ficheiro GladCtrl64.dll. O mais alarmante é que estes valores foram derivados de duas strings estáticas de texto em chinês e japonês, que são idênticas em todas as instalações do produto.
Como estas chaves nunca mudam, uma vez extraídas da memória, permitem aos atacantes decifrar os "Bilhetes de Acesso" (Access Tickets) gerados pelo servidor. Estes bilhetes contêm informações sensíveis como caminhos de ficheiros, nomes de utilizadores e palavras-passe. Mais grave ainda, a posse destas chaves permite aos cibercriminosos forjar os seus próprios bilhetes, fazendo-se passar por utilizadores legítimos.
Os investigadores observaram atacantes a criar bilhetes com datas de expiração definidas para o ano 9999, garantindo acesso perpétuo. Com este acesso, conseguem solicitar o ficheiro web.config do servidor, extrair a machineKey e desencadear a execução remota de código através de uma falha de desserialização ViewState.
Atualização urgente recomendada
A Gladinet já notificou os clientes sobre esta situação, disponibilizando uma atualização de segurança. Recomenda-se a todos os administradores que utilizem o CentreStack ou Triofox que atualizem imediatamente para a versão 16.12.10420.56791 (ou superior), lançada a 8 de dezembro.
Além da atualização de software, é crucial que as organizações procedam à rotação das chaves da máquina (machine keys) para invalidar quaisquer acessos que possam ter sido comprometidos anteriormente. A Huntress forneceu ainda indicadores de compromisso (IoCs), salientando que a presença de uma string específica nos registos (vghpI7EToZUDIZDdprSubL3mTZ2) é um sinal fiável de que o sistema pode ter sido alvo de um ataque.
Até ao momento, os ataques foram associados a um endereço IP específico, mas não foi feita qualquer atribuição a um grupo de cibercrime conhecido.
Nenhum comentário
Seja o primeiro!