Peretas mengeksploitasi kerentanan baru yang tidak terdokumentasi dalam penerapan algoritma kriptografi yang ada di produk CentreStack dan Triofox Gladinet untuk mengamankan akses dan berbagi file jarak jauh.
Dengan memanfaatkan masalah keamanan, penyerang dapat memperoleh kunci kriptografi hardcode dan mencapai eksekusi kode jarak jauh, para peneliti memperingatkan.
Meskipun kerentanan kriptografi baru tidak memiliki pengidentifikasi resmi, Gladinet memberi tahu pelanggan tentang hal itu dan menyarankan mereka untuk memperbarui produk ke versi terbaru, yang, pada saat komunikasi, telah dirilis pada 29 November.
Perusahaan juga menyediakan serangkaian indikator kompromi (IoC) kepada pelanggan, yang menunjukkan bahwa masalah tersebut dieksploitasi secara liar.
Peneliti keamanan di platform keamanan siber terkelola Huntress mengetahui setidaknya ada sembilan organisasi yang menjadi sasaran serangan yang memanfaatkan kerentanan baru tersebut yang lebih lama dilacak sebagai CVE-2025-30406 – kelemahan penyertaan file lokal yang memungkinkan penyerang lokal mengakses file sistem tanpa otentikasi.
Kunci kriptografi yang dikodekan secara keras
Dengan menggunakan IoC dari Gladinet, peneliti Huntress dapat menentukan di mana letak kelemahannya dan bagaimana pelaku ancaman memanfaatkannya.
Huntress menemukan bahwa masalah ini berasal dari penerapan khusus algoritme kriptografi AES di Gladinet CentreStack dan Triofox, yang mana kunci enkripsi dan Inisialisasi Vektor (IV) di-hardcode di dalam SenangCtrl64.dll file dan dapat diperoleh dengan mudah.
Secara khusus, nilai kunci berasal dari dua string statis teks berbahasa Mandarin dan Jepang berukuran 100 byte, yang identik di semua instalasi produk.
Cacatnya terletak pada pemrosesan ‘filesvr.dn‘ handler, yang mendekripsi ‘T‘ parameter (Tiket Akses) menggunakan kunci statis tersebut, Pemburu menjelaskan.
Siapa pun yang mengekstrak kunci tersebut dapat mendekripsi Tiket Akses yang berisi jalur file, nama pengguna, kata sandi, dan stempel waktu, atau membuatnya sendiri untuk menyamar sebagai pengguna dan memerintahkan server untuk mengembalikan file apa pun di disk.
“Karena kunci ini tidak pernah berubah, kami dapat mengekstraknya dari memori satu kali dan menggunakannya untuk mendekripsi tiket apa pun yang dihasilkan oleh server atau lebih buruk lagi, mengenkripsi tiket kami sendiri,” kata para peneliti.
Huntress mengamati bahwa Tiket Akses dipalsukan menggunakan kunci AES berkode keras dan menetapkan stempel waktu ke tahun 9999, sehingga tiket tidak pernah kedaluwarsa.
Penyerang selanjutnya meminta server web.config mengajukan. Karena mengandung kunci mesinmereka dapat menggunakannya untuk memicu eksekusi kode jarak jauh melalui kelemahan deserialisasi ViewState.
Sumber: Pemburu
Selain alamat IP yang menyerang, 147.124.216[.]205, tidak ada atribusi khusus yang dibuat untuk serangan tersebut.
Mengenai target, Huntress mengonfirmasi sembilan organisasi per 10 Desember, dari berbagai sektor, termasuk kesehatan dan teknologi.
Pengguna Gladinet CentreStack dan Triofox disarankan untuk meningkatkan ke versi 16.12.10420.56791 (dirilis pada 8 Desember) sesegera mungkin dan juga memutar kunci mesin.
Selain itu, disarankan untuk memindai log untuk ‘vghpI7EToZUDIZDdprSubL3mTZ2‘ string, yang dikaitkan dengan jalur file terenkripsi, dan dianggap sebagai satu-satunya indikator kompromi yang dapat diandalkan.
Huntress memberikan panduan mitigasi dalam laporannya, bersama dengan indikator kompromi yang dapat digunakan oleh para pembela HAM untuk melindungi lingkungan mereka atau menentukan apakah lingkungan mereka dilanggar.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
