黑客正利用硬编码加密密钥攻击 Gladinet CentreStack 与 Triofox

安全研究人员发出警告黑客正在针对 Gladinet 公司的两款远程文件安全访问与共享产品——CentreStack和Triofox——发起活跃攻击。攻击的核心突破口是一个此前未公开的加密实现漏洞允许攻击者提取硬编码的 AES 加密密钥进而实现远程代码执行RCE。该漏洞现已被正式编号为CVE-2025-14611。Gladinet 已向客户推送安全通知建议立即将产品升级至 2025 年 12 月 8 日发布的最新版本16.12.10420.56791。同时公司提供了入侵指标IoC确认该漏洞已在野外被实际利用。托管式网络安全平台Huntress的研究人员证实至少已有 9 家来自医疗、科技等行业的机构遭受攻击。攻击者通常将该新型加密漏洞与旧漏洞如本地文件包含或 ViewState 反序列化漏洞结合使用形成完整攻击链。Revolutionize Engineering Workflow with Gladinet Solutions图 1Gladinet CentreStack / Triofox 典型部署架构示意图远程文件访问与共享环境漏洞原理硬编码 AES 密钥的危险Huntress 研究人员借助 Gladinet 提供的入侵指标成功定位并分析了漏洞触发位置。漏洞根源在于 Gladinet CentreStack 与 Triofox 对AES 加密算法的自定义实现加密密钥与初始化向量IV被硬编码在GladCtrl64.dll文件中。密钥由两段固定的 100 字节中日文文本字符串生成且所有产品安装实例中的字符串完全相同静态不变。核心触发点位于filesvr.dn处理器的处理逻辑。该处理器使用上述静态密钥对 “t” 参数访问令牌进行解密操作。攻击者一旦获取密钥即可解密合法访问令牌令牌中包含文件路径、用户名、密码、时间戳等敏感信息。伪造访问令牌冒充合法用户向服务器发送指令读取任意磁盘文件。研究人员指出“由于密钥永久固定我们只需从任意一个安装实例中提取一次即可解密该产品所有服务器生成的令牌。更危险的是攻击者还能自行加密生成恶意令牌。”Huntress 观察到攻击者常将伪造令牌的时间戳设置为9999 年使令牌永久有效。随后他们会请求web.config配置文件从中提取machineKey并利用视图状态ViewState反序列化漏洞触发远程代码执行。What is AES Advanced Encryption Standard?图 2AES 加密算法工作原理示意图正常情况下需要安全密钥传输而硬编码密钥导致所有实例共享同一密钥AES (Advanced Encryption Standard): Step-by-Step In-Depth Understanding | by dilli_hangrae | Medium图 3AES 加密与解密详细流程多轮变换依赖密钥扩展攻击链完整过程利用硬编码 AES 密钥伪造访问令牌。通过 /storage/filesvr.dn 端点请求获取 web.config 文件。提取其中的 machineKey利用 ViewState 反序列化实现 RCE。部署后门或进一步横向移动部分攻击观察到下载 conqueror.exe 等恶意文件。已确认的攻击源 IP 包括147.124.216[.]205等具体归属组织尚未完全明确。What is RCE vulnerability? Remote code execution meaningInsecure deserialization | Web Security Academy图 5反序列化漏洞攻击链示意图从序列化对象到恶意代码执行缓解建议与入侵指标Gladinet CentreStack 与 Triofox 用户应立即采取以下措施将产品升级至16.12.10420.56791或更高版本。升级后立即更换系统的 machineKey参考 Gladinet 官方加固指南。扫描系统日志查找以下关键入侵指标请求路径包含 /storage/filesvr.dn。加密字符串vghpI7EToZUDIZDdprSubL3mTZ2这是加密后的 web.config 文件路径是最可靠的入侵标志。Huntress 已在其报告中提供详细的入侵指标和缓解方案建议安全团队用于加固防护或排查现有系统