Huntress advierte sobre una nueva vulnerabilidad explotada activamente en los productos CentreStack y Triofox de Gladinet, derivada del uso de claves criptográficas codificadas de forma rígida que ha afectado a nueve organizaciones hasta el momento.
«Los actores de amenazas pueden abusar de esto para acceder al archivo web.config, lo que abre la puerta a la deserialización y la ejecución remota de código», dijo el investigador de seguridad Bryan Masters dijo .
El uso de claves criptográficas codificadas de forma rígida podría permitir a los actores de amenazas descifrar o falsificar tickets de acceso, lo que les permitiría acceder a archivos confidenciales como web.config, que pueden explotarse para lograr la deserialización de ViewState y la ejecución remota de código, añadió la empresa de ciberseguridad.
En esencia, el problema tiene su origen en una función denominada «generateSecKey ()» presente en "GladCtrl64.dll" que se utiliza para generar las claves criptográficas necesarias para cifrar los tickets de acceso que contienen datos de autorización (es decir, nombre de usuario y contraseña) y permitir el acceso al sistema de archivos como usuario, siempre que las credenciales sean válidas.
Como la función generateSecKey () devuelve las mismas cadenas de texto de 100 bytes y estas cadenas se utilizan para derivar las claves criptográficas, las claves nunca cambian y se pueden utilizar como armas para descifrar cualquier ticket generado por el servidor o incluso cifrar uno de los que elija el atacante.
Esto, a su vez, abre la puerta a un escenario en el que se puede aprovechar para acceder a archivos que contienen datos valiosos, como el archivo web.config, y obtener la clave de máquina necesaria para realizar la ejecución remota de código mediante la deserialización de ViewState.
Los ataques, según Huntress, adoptan la forma de solicitudes de URL especialmente diseñadas al punto final «/storage/filesvr.dn», como se muestra a continuación:
/storage/filesvr.dn t=vghpi7etozudizddprsubl3mtz2:acli:8zra5aopvx4teexlziueqnysfrx7dsd3p5l6eiydig8lvm0o41m:zdpleyeso5kszajixcsumkdyugpv5vlxl%7c372varau
Se ha descubierto que los ataques dejan en blanco los campos Nombre de usuario y Contraseña, lo que hace que la aplicación vuelva a la identidad del grupo de aplicaciones de IIS. Además, el campo de fecha y hora del ticket de acceso, que hace referencia a la hora de creación del ticket, está establecido en 9999, lo que crea un ticket que nunca caduca, lo que permite a los atacantes reutilizar la URL de forma indefinida y descargar la configuración del servidor.
Hasta el 10 de diciembre, hasta nueve organizaciones se han visto afectadas por la falla recientemente revelada. Estas organizaciones pertenecen a una amplia gama de sectores, como la salud y la tecnología. Los ataques se originan en la dirección IP 147.124.216 [.] 205 e intentan encadenar una falla previamente revelada en las mismas aplicaciones ( CVE-2025-11371 ) con el nuevo exploit para acceder a la clave de máquina desde el archivo web.config.
«Una vez que el atacante pudo obtener las claves, realizó un ataque de deserialización de viewstate y, a continuación, intentó recuperar el resultado de la ejecución, lo que falló», dijo Huntress.
A la luz de la explotación activa, las organizaciones que utilizan CentreStack y Triofox deberías actualización a la última versión, 16.12.10420.56791, lanzada el 8 de diciembre de 2025. Además, se recomienda analizar los registros para detectar la presencia de la cadena «vghpi7etozudizddprsubl3mtz2», que es la representación cifrada de la ruta del archivo web.config.
En caso de que se detecten indicadores o puntos comprometedores (IOC), es imprescindible girar la tecla de la máquina entre siguiendo los pasos siguientes -
- En el servidor Centrestack, vaya a la carpeta de instalación de Centrestack C:\Program Files (x86)\ Gladinet Cloud Enterprise\ root
- Hacer una copia de seguridad de web.config
- Abra el Administrador de IIS
- Navegue a Sitios -> Sitio web predeterminado
- En la sección ASP.NET, haga doble clic en Clave de máquina
- Haga clic en «Generar claves» en el panel derecho
- Haga clic en Aplicar para guardarlo en root\ web.config
- Reinicie IIS después de repetir el mismo paso para todos los nodos de trabajo