Huntress advierte sobre una nueva vulnerabilidad explotada activamente en los productos CentreStack y Triofox de Gladinet derivada del uso de claves criptográficas codificadas que han afectado a nueve organizaciones hasta ahora.
«Los actores de amenazas pueden potencialmente abusar de esto como una forma de acceder al archivo web.config, abriendo la puerta a la deserialización y ejecución remota de código», dijo el investigador de seguridad Bryan Masters.
El uso de claves criptográficas codificadas podría permitir a los actores de amenazas descifrar o falsificar tickets de acceso, permitiéndoles acceder a archivos confidenciales como web.config que pueden explotarse para lograr la deserialización de ViewState y la ejecución remota de código, añadió la empresa de ciberseguridad.
En esencia, el problema tiene su origen en una función denominada «GenerateSecKey()» presente en «GladCtrl64.dll» que se utiliza para generar las claves criptográficas necesarias para cifrar los tickets de acceso que contienen datos de autorización (es decir, nombre de usuario y contraseña) y permitir el acceso al sistema de archivos como usuario, suponiendo que las credenciales sean válidas.
Debido a que la función GenerateSecKey() devuelve las mismas cadenas de texto de 100 bytes y estas cadenas se utilizan para derivar las claves criptográficas, las claves nunca cambian y pueden usarse como arma para descifrar cualquier ticket generado por el servidor o incluso cifrar uno que elija el atacante.
Esto, a su vez, abre la puerta a un escenario en el que se puede explotar para acceder a archivos que contienen datos valiosos, como el archivo web.config, y obtener la clave de máquina necesaria para realizar la ejecución remota de código mediante la deserialización de ViewState.
Los ataques, según Huntress, toman la forma de solicitudes de URL especialmente diseñadas al punto final «/storage/filesvr.dn», como se muestra a continuación:
/almacenamiento/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Se ha descubierto que los esfuerzos de ataque dejan los campos Nombre de usuario y Contraseña en blanco, lo que hace que la aplicación recurra a la Identidad del grupo de aplicaciones de IIS. Es más, el campo de marca de tiempo en el ticket de acceso, que se refiere a la hora de creación del ticket, se establece en 9999, lo que crea efectivamente un ticket que nunca caduca, lo que permite a los actores de amenazas reutilizar la URL indefinidamente y descargar la configuración del servidor.
Hasta el 10 de diciembre, hasta nueve organizaciones se habían visto afectadas por la falla recientemente revelada. Estas organizaciones pertenecen a una amplia gama de sectores, como la salud y la tecnología. Los ataques se originan en la dirección IP 147.124.216(.)205 e intentan encadenar una falla previamente revelada en las mismas aplicaciones (CVE-2025-11371) con el nuevo exploit para acceder a la clave de la máquina desde el archivo web.config.
«Una vez que el atacante pudo obtener las claves, realizó un ataque de deserialización de estado de vista y luego intentó recuperar el resultado de la ejecución, lo cual falló», dijo Huntress.
A la luz de la explotación activa, las organizaciones que utilizan CentreStack y Triofox deben actualizar a la última versión, 16.12.10420.56791, lanzada el 8 de diciembre de 2025. Además, se recomienda escanear los registros para detectar la presencia de la cadena «vghpI7EToZUDIZDdprSubL3mTZ2», que es la representación cifrada de la ruta del archivo web.config.
En caso de que se detecten indicadores o compromiso (IoC), es imperativo que se gire la clave de la máquina siguiendo los pasos a continuación:
- En el servidor de Centrestack, vaya a la carpeta de instalación de Centrestack C:Program Files (x86)Gladinet Cloud Enterpriseroot
- Hacer una copia de seguridad de web.config
- Abrir el Administrador de IIS
- Vaya a Sitios -> Sitio web predeterminado
- En la sección ASP.NET, haga doble clic en Clave de máquina
- Haga clic en ‘Generar claves’ en el panel derecho
- Haga clic en Aplicar para guardarlo en rootweb.config
- Reinicie IIS después de repetir el mismo paso para todos los nodos trabajadores
