Güvenlik Açığı: Gladinet Ürünlerinde Hard-Coded Anahtar Sorunu
Günümüzde siber güvenlik, şirketlerin en büyük önceliklerinden biri haline gelmiştir. Özellikle kritik verilerin korunması için güvenlik açığı tespiti ve yönetimi büyük önem taşımaktadır. Son günlerde Gladinet’in CentreStack ve Triofox ürünlerinde tespit edilen bir güvenlik açığı, bu bağlamda dikkat çekmektedir. Huntress tarafından duyurulan bu açığın, dokuz farklı kuruluşa zarar verdiği bildirilmektedir.
Hard-Coded Anahtarların Tehlikesi
Araştırmalara göre, bu güvenlik açığının temel nedeni sistemde hard-coded (sabit) kriptografik anahtarların kullanılmasıdır. Güvenlik araştırmacısı Bryan Masters, bu anahtarların kötü niyetli aktörler tarafından web.config dosyasına erişim için kullanılabileceğini belirtmiştir. Bu erişim, hem deserialize (çoklayarak geri yükleme) hem de uzaktan kod çalıştırma riskini beraberinde getirmektedir.
GenerateSecKey() Fonksiyonu ve Etkileri
Sorunun kaynağı, “GladCtrl64.dll” dosyasında yer alan “GenerateSecKey()” isimli bir fonksiyondur. Bu fonksiyon, kullanıcı adı ve şifre gibi yetkilendirme verilerini içeren erişim biletlerini şifrelemek için gerekli olan kriptografik anahtarları üretmektedir. Ancak bu fonksiyon, her seferinde aynı 100 baytlık dizeleri döndürmekte ve bu durum anahtarların değişmemesine sebep olmaktadır.
Kötü Amaçlı Kullanım Yolları
Hard-coded anahtarların varlığı, kötü niyetli kişilerin sunucu tarafından üretilen her biletin şifresini çözmesine ya da kendi seçtikleri bir biletin şifrelemesine olanak tanımaktadır. Bu durum, web.config dosyasına erişim sağlamak amacıyla kullanılabilmektedir. Buradan elde edilen makine anahtarı sayesinde uzaktan kod çalıştırma işlemleri gerçekleştirilebilir.
Son Gelişmeler ve Önlemler
Huntress’e göre, bu saldırılar genellikle “/storage/filesvr.dn” uç noktasına yapılan özel olarak hazırlanmış URL istekleriyle gerçekleştirilmektedir. 10 Aralık itibarıyla, bu güvenlik açığından etkilenen dokuz farklı sektör olduğuna dair raporlar mevcuttur. Özellikle sağlık ve teknoloji alanında faaliyet gösteren firmaların hedef alındığı görülmektedir. Saldırganlar, daha önce açıklanan CVE-2025-11371 güvenlik açığından yararlanarak makine anahtarına erişmeye çalışmaktadır.
Ne Yapılmalı?
Bu bağlamda, CentreStack ve Triofox kullanan kuruluşların, 8 Aralık 2025 tarihinde yayımlanan 16.12.10420.56791 sürümüne güncellemeleri kritik bir öneme sahiptir. Ayrıca, sunucu loglarında “vghpI7EToZUDIZDdprSubL3mTZ2” ifadesinin izini sürmek, potansiyel bir saldırıyı önlemek açısından önemlidir.
Makine Anahtarını Değiştirme Adımları
Eğer bir ihlal belirtisi (IoCs) tespit edilirse, makine anahtarının değiştirilmesi gerekmektedir. Aşağıda yer alan adımlar izlenebilir:
- CentreStack sunucusuna gidin ve kurulum klasörünü açın:
C:Program Files (x86)Gladinet Cloud Enterpriseroot. - web.config dosyasının yedeğini alın.
- IIS Yöneticisini açın.
- Siteler bölümüne gidip, Default Web Site’e tıklayın.
- ASP.NET bölümünde, Makine Anahtarına çift tıklayın.
- Sağ paneleyi kullanarak ‘Anahtarları Üret’ seçeneğine tıklayın.
- Değişiklikleri kaydedin ve tüm çalışan düğümler için bu adımları tekrarlayarak IIS’i yeniden başlatın.
Bu tür önlemler alındığında, güvenlik açıklarının etkilerini minimize etmek ve verilerin güvenliğini sağlamak mümkün olacaktır.
