-
09/04/2020
-
122
-
1.411 bài viết
Tin tặc khai thác lỗi hard-coded key trong Gladinet để chiếm quyền máy chủ
Huntress vừa phát cảnh báo về một lỗ hổng nghiêm trọng trong hai sản phẩm CentreStack và Triofox của Gladinet. Điểm yếu này đang bị tin tặc khai thác ngoài thực tế, xuất phát từ việc phần mềm sử dụng khóa mã hóa được ghi cứng trong mã. Sự cố đã ảnh hưởng đến ít nhất chín tổ chức thuộc nhiều lĩnh vực, từ công nghệ đến y tế.
Theo các chuyên gia bảo mật, tin tặc có thể lợi dụng lỗ hổng để truy cập tệp web.config, qua đó mở đường cho tấn công deserialization và chiếm quyền thực thi mã từ xa. Trong khi đó, Huntress cho biết cơ chế tạo khóa mã hóa hiện tại sinh ra các khóa cố định, khiến tin tặc có thể giải mã hoặc tự tạo “vé truy cập” chứa thông tin xác thực như tên đăng nhập và mật khẩu. Điều này cho phép chúng can thiệp vào hệ thống tệp với tư cách một người dùng hợp lệ.
Cốt lõi vấn đề nằm ở hàm GenerateSecKey() trong thư viện GladCtrl64.dll. Hàm này luôn trả về một chuỗi 100 byte giống nhau và chuỗi đó lại được dùng để tạo khóa mã hóa. Vì khóa không thay đổi theo thời gian, chỉ cần nắm được chuỗi gốc, tin tặc có thể mở hoặc tự tạo vé truy cập để xem các tệp quan trọng như web.config. Tệp này chứa machine key - yếu tố then chốt mà chúng có thể lợi dụng để thực hiện tấn công ViewState deserialization và chiếm quyền thực thi mã từ xa.
Trong các cuộc tấn công được ghi nhận gần đây, tin tặc gửi các yêu cầu URL được dựng thủ công đến điểm truy cập “/storage/filesvr.dn”. Những vé truy cập độc hại này để trống trường tên đăng nhập và mật khẩu, khiến ứng dụng mặc định sử dụng danh tính của IIS Application Pool. Ngoài ra, dấu thời gian của vé được đặt thành “9999”, tạo ra vé gần như không bao giờ hết hạn. Nhờ đó, tin tặc có thể tái sử dụng URL bất cứ lúc nào để tải xuống tệp cấu hình của máy chủ.
Tính đến ngày 10/12, đã có chín tổ chức bị ảnh hưởng. Dữ liệu điều tra cho thấy nguồn tấn công xuất phát từ địa chỉ IP 147.124.216[.]205. Bên cạnh đó, tin tặc còn kết hợp lỗ hổng mới này với điểm yếu từng được công bố trước đó (CVE-2025-11371) nhằm truy xuất machine key từ web.config, qua đó tiến gần hơn tới chuỗi tấn công hoàn chỉnh dẫn đến thực thi mã từ xa.
Huntress cho biết sau khi thu được khóa, tin tặc đã tiến hành tấn công ViewState deserialization và cố đọc kết quả thực thi. Dù bước này không thành công, chuỗi hành vi cho thấy đối tượng rất am hiểu hệ thống và nắm rõ lịch sử lỗ hổng của Gladinet.
Trong bối cảnh lỗ hổng đang bị khai thác tích cực, Huntress khuyến cáo người dùng CentreStack và Triofox cập nhật ngay lên phiên bản 16.12.10420.56791 phát hành ngày 8/12/2025. Các tổ chức cũng nên rà soát nhật ký hệ thống để tìm chuỗi “vghpI7EToZUDIZDdprSubL3mTZ2”, vốn là phiên bản mã hóa của đường dẫn web.config và là chỉ dấu quan trọng cho thấy hệ thống có thể đã bị truy cập trái phép.
Nếu phát hiện dấu hiệu xâm nhập, bước đầu tiên cần thực hiện là thay đổi machine key theo quy trình chuẩn. Quản trị viên nên sao lưu web.config, mở IIS Manager, tạo khóa mới trong mục ASP.NET, lưu lại cấu hình và khởi động lại toàn bộ hệ thống IIS trên các máy chủ liên quan.
Từ đầu năm đến nay, đây là lỗ hổng thứ ba trong CentreStack và Triofox bị tin tặc khai thác ngoài thực tế. Theo các chuyên gia bảo mật, các cuộc tấn công đều sử dụng cùng một quy trình xâu chuỗi nhiều lỗ hổng, cho thấy đối tượng thực hiện giàu kinh nghiệm và hiểu rõ hệ sinh thái lỗ hổng của Gladinet.
Theo The Hacker News