Son dönemde, siber güvenlik alanında dikkat çeken bir gelişme yaşandı: Gladinet’ın CentreStack ve Triofox ürünlerinde bulunan yeni bir gizli kriptografik açığın kötüye kullanılması. Araştırmacılar, bu açığın siber saldırganların hardcoded (önyazılı) kriptografik anahtarlara ulaşarak uzaktan kod çalıştırmalarına olanak tanıdığını belirtiyor.
Açığın Tanımı ve Etkisi
Bu kriptografik açığın resmi bir tanımlayıcısı olmamasına rağmen, Gladinet müşteri bilgilendirmesi yaparak, kullanıcılarının ürünlerini en son sürüme güncellemeleri gerektiğini bildirdi. 29 Kasım’da yayımlanan bu güncelleme, açığın açıklığa kavuşturulmasına yönelik önemli bir adım.
Huntress adlı bir siber güvenlik platformundaki araştırmacılar, bu açığın kötüye kullanıldığı en az dokuz kuruluştan haber aldıklarını aktardı. Açığın yanı sıra CVE-2025-30406 olarak takip edilen daha eski bir yerel dosya dahil etme açığı ile birleştirilerek kullanıldığı da tespit edildi.
Hardcoded Kriptografik Anahtarlar
Huntress, açığın Kaynağını Gladinet CentreStack ve Triofox ürünlerindeki AES kriptografik algoritmasının özel uygulamasında buldu. Burada şifreleme anahtarı ve Başlatma Vektörü (IV) GladCtrl64.dll dosyasının içinde sabit olarak yerleştirilmiş durumda. Bu anahtarlar, tüm ürün kurulumlarında aynı olan iki statik 100 baytlık Çince ve Japonca metin dizisinden türetiliyor.
Bu açığın kritik noktası, ‘filesvr.dn’ işleyicisindeki verilerin işlenmesinde bulunuyor. Özellikle, bu işleyici, ‘t’ parametresini (Erişim Bileti) sabit anahtarları kullanarak şifre çözme işlemi yapıyor. Anahtarın elde edilmesi, saldırganların dosya yolları, kullanıcı adları, parolalar ve zaman damgaları gibi bilgileri içeren Erişim Biletlerini çözmelerine ya da kendi Erişim Biletlerini oluşturup sunucudan herhangi bir dosyayı talep etmelerine imkan tanıyor.
Saldırı Süreci ve Önlemler
Huntress, sabit AES anahtarları kullanarak Erişim Biletlerinin nasıl sahtekarlık yapılarak oluşturulabildiğini de gözlemledi. Saldırganlar, zaman damgasını 9999 yılına ayarlamak suretiyle biletin hiç süre dolmamasını sağladılar. Sonrasında sunucunun web.config dosyasını talep ederek, makine anahtarını elde ettiler ve bu anahtarı, bir ViewState deserialization açığı aracılığıyla uzaktan kod çalıştırmak için kullandılar.
Şu ana kadar belirlenen bir saldırı IP adresi var: 147.124.216[.]205. Hedefler arasında sağlık ve teknoloji gibi çeşitli sektörlerden toplam dokuz kuruluş bulunmaktadır.
Gladinet kullanıcılarının, özellikle version 16.12.10420.56791’e yükseltmeleri ve makine anahtarlarını değiştirmeleri önerilmektedir. Ayrıca, ‘vghpI7EToZUDIZDdprSubL3mTZ2’ dizgesini içeren günlüklerin taranması, bu açıkla ilgili en güvenilir gösterge olarak değerlendirilmekte.
Huntress, kurulumları korumak veya bir ihlal olup olmadığını tespit etmek için kullanılabilecek ayrıntılı inceleme rehberi ve diğer belirtileri de içeren bir rapor hazırladı.
