Οι χάκερ εκμεταλλεύονται μια νέα, μη τεκμηριωμένη ευπάθεια στην εφαρμογή του κρυπτογραφικού αλγορίθμου που υπάρχει στα προϊόντα CentreStack και Triofox της Gladinet για ασφαλή απομακρυσμένη πρόσβαση και κοινή χρήση αρχείων.
Αξιοποιώντας το ζήτημα ασφαλείας, οι εισβολείς μπορούν να αποκτήσουν κρυπτογραφικά κλειδιά με σκληρό κώδικα και να επιτύχουν απομακρυσμένη εκτέλεση κώδικα, προειδοποιούν οι ερευνητές.
Αν και η νέα κρυπτογραφική ευπάθεια δεν έχει επίσημο αναγνωριστικό, η Gladinet ειδοποίησε τους πελάτες σχετικά και τους συμβούλευσε να ενημερώσουν τα προϊόντα στην πιο πρόσφατη έκδοση, η οποία, τη στιγμή της επικοινωνίας, είχε κυκλοφορήσει στις 29 Νοεμβρίου.
Η εταιρεία παρείχε επίσης στους πελάτες μια σειρά από δείκτες συμβιβασμού (IoCs), υποδεικνύοντας ότι το ζήτημα εκμεταλλευόταν στην άγρια φύση.
Οι ερευνητές ασφαλείας στη διαχειριζόμενη πλατφόρμα κυβερνοασφάλειας Huntress γνωρίζουν τουλάχιστον εννέα οργανισμούς που στοχεύουν σε επιθέσεις που αξιοποιούν τη νέα ευπάθεια μαζί με έναν παλαιότερο που παρακολουθείται ως CVE-2025-30406 – ένα ελάττωμα συμπερίληψης τοπικών αρχείων που επιτρέπει σε έναν τοπικό εισβολέα να έχει πρόσβαση στα αρχεία συστήματος χωρίς έλεγχο ταυτότητας.
Σκληρά κωδικοποιημένα κρυπτογραφικά κλειδιά
Χρησιμοποιώντας τα IoC της Gladinet, οι ερευνητές του Huntress μπόρεσαν να προσδιορίσουν πού βρισκόταν το ελάττωμα και πώς το εκμεταλλεύονται οι παράγοντες της απειλής.
Ο Huntress διαπίστωσε ότι το ζήτημα προέρχεται από την προσαρμοσμένη εφαρμογή του κρυπτογραφικού αλγόριθμου AES στο Gladinet CentreStack και στο Triofox, όπου το κλειδί κρυπτογράφησης και το Initialization Vector (IV) ήταν κωδικοποιημένα μέσα στο GladCtrl64.dll αρχείο και θα μπορούσε να ληφθεί εύκολα.
Συγκεκριμένα, οι βασικές τιμές προήλθαν από δύο στατικές συμβολοσειρές 100 byte κινεζικού και ιαπωνικού κειμένου, οι οποίες ήταν πανομοιότυπες σε όλες τις εγκαταστάσεις προϊόντων.
Το ελάττωμα έγκειται στην επεξεργασία τουfilesvr.dn“χειριστής, ο οποίος αποκρυπτογραφεί το”tπαράμετρος (Εισιτήριο πρόσβασης) χρησιμοποιώντας αυτά τα στατικά πλήκτρα, Η Huntress εξηγεί.
Οποιοσδήποτε εξάγει αυτά τα κλειδιά θα μπορούσε να αποκρυπτογραφήσει τα Εισιτήρια Πρόσβασης που περιέχουν διαδρομές αρχείων, ονόματα χρήστη, κωδικούς πρόσβασης και χρονικές σημάνσεις ή να δημιουργήσει τα δικά τους για να μιμηθεί τους χρήστες και να δώσει εντολή στους διακομιστές να επιστρέψουν οποιοδήποτε αρχείο στο δίσκο.
«Επειδή αυτά τα κλειδιά δεν αλλάζουν ποτέ, θα μπορούσαμε να τα εξαγάγουμε από τη μνήμη μία φορά και να τα χρησιμοποιήσουμε για να αποκρυπτογραφήσουμε οποιοδήποτε εισιτήριο δημιουργείται από τον διακομιστή ή χειρότερα, να κρυπτογραφήσουμε το δικό μας», λένε οι ερευνητές.
Η Huntress παρατήρησε ότι τα Εισιτήρια Πρόσβασης πλαστογραφήθηκαν χρησιμοποιώντας σκληρά κωδικοποιημένα κλειδιά AES και ορίζοντας τη χρονική σήμανση στο έτος 9999, επομένως το εισιτήριο δεν λήγει ποτέ.
Στη συνέχεια οι εισβολείς ζήτησαν από τον διακομιστή web.config αρχείο. Δεδομένου ότι περιέχει το Κλειδί μηχανήςμπόρεσαν να το χρησιμοποιήσουν για να ενεργοποιήσουν την απομακρυσμένη εκτέλεση κώδικα μέσω ενός ελαττώματος αποσειροποίησης του ViewState.
Πηγή: Huntress
Εκτός από μια επιθετική διεύθυνση IP, 147.124.216[.]205, δεν έχει γίνει συγκεκριμένη αναφορά για αυτές τις επιθέσεις.
Όσον αφορά τους στόχους, η Huntress επιβεβαίωσε εννέα οργανισμούς έως τις 10 Δεκεμβρίου, από διάφορους τομείς, συμπεριλαμβανομένης της υγειονομικής περίθαλψης και της τεχνολογίας.
Συνιστάται στους χρήστες του Gladinet CentreStack και του Triofox να κάνουν αναβάθμιση στην έκδοση 16.12.10420.56791 (κυκλοφόρησε στις 8 Δεκεμβρίου) το συντομότερο δυνατό και επίσης να περιστρέψουν τα πλήκτρα του μηχανήματος.
Επιπλέον, συνιστάται η σάρωση αρχείων καταγραφής γιαvghpI7EToZUDIZDdprSubL3mTZ2συμβολοσειρά, η οποία σχετίζεται με την κρυπτογραφημένη διαδρομή αρχείου και θεωρείται η μόνη αξιόπιστη ένδειξη συμβιβασμού.
Η Huntress παρέχει οδηγίες μετριασμού στην έκθεσή της, μαζί με δείκτες συμβιβασμού που μπορούν να χρησιμοποιήσουν οι υπερασπιστές για να προστατεύσουν το περιβάλλον τους ή να προσδιορίσουν εάν παραβιάστηκαν.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
