Huntress, Gladinet’in CentreStack ve Triofox ürünlerinde, şimdiye kadar dokuz kuruluşu etkileyen, sabit kodlu şifreleme anahtarlarının kullanımından kaynaklanan, aktif olarak istismar edilen yeni bir güvenlik açığı konusunda uyarıyor.
Güvenlik araştırmacısı Bryan Masters, “Tehdit aktörleri bunu web.config dosyasına erişmenin bir yolu olarak kötüye kullanabilir, seri durumdan çıkarma ve uzaktan kod yürütmeye kapı açabilir” dedi.
Siber güvenlik şirketi, sabit kodlu kriptografik anahtarların kullanılmasının, tehdit aktörlerinin erişim biletlerinin şifresini çözmesine veya taklit etmesine olanak tanıyarak, ViewState’in seri durumdan çıkarılması ve uzaktan kod yürütülmesini sağlamak için kullanılabilecek web.config gibi hassas dosyalara erişmelerine olanak sağlayabileceğini ekledi.
Sorunun özünde, “GladCtrl64.dll” dosyasında bulunan ve kimlik bilgilerinin geçerli olduğu varsayılarak, yetkilendirme verilerini (yani Kullanıcı Adı ve Parola) içeren erişim biletlerini şifrelemek ve kullanıcı olarak dosya sistemine erişimi etkinleştirmek için gerekli şifreleme anahtarlarını oluşturmak için kullanılan “GenerateSecKey()” adlı bir işlevden kaynaklanıyor.
GenerateSecKey() işlevi aynı 100 baytlık metin dizelerini döndürdüğünden ve bu dizeler kriptografik anahtarları türetmek için kullanıldığından, anahtarlar hiçbir zaman değişmez ve sunucu tarafından oluşturulan herhangi bir biletin şifresini çözmek ve hatta saldırganın seçtiği herhangi birini şifrelemek için silah haline getirilebilir.
Bu da, web.config dosyası gibi değerli veriler içeren dosyalara erişilebileceği ve ViewState seri durumdan çıkarma yoluyla uzaktan kod yürütme gerçekleştirmek için gereken makine anahtarının elde edilebileceği bir senaryonun kapısını açar.
Huntress’a göre saldırılar, aşağıdaki gibi “/storage/filesvr.dn” uç noktasına yönelik özel hazırlanmış URL istekleri biçimini alıyor:
/depolama/dosyalarvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL%7C372varAu
Saldırı çabalarında, Kullanıcı Adı ve Parola alanlarının boş bırakılması, uygulamanın IIS Uygulama Havuzu Kimliğine geri dönmesine neden olduğu tespit edildi. Dahası, erişim biletindeki, biletin oluşturulma zamanını ifade eden zaman damgası alanı 9999’a ayarlanarak süresi dolmayan bir bilet oluşturulur ve tehdit aktörlerinin URL’yi süresiz olarak yeniden kullanmasına ve sunucu yapılandırmasını indirmesine olanak sağlanır.
10 Aralık itibarıyla yeni açıklanan kusurdan dokuz kadar kuruluş etkilendi. Bu kuruluşlar sağlık ve teknoloji gibi çok çeşitli sektörlere aittir. Saldırılar 147.124.216 IP adresinden kaynaklanıyor[.]205 ve aynı uygulamalarda daha önce açıklanan bir kusuru (CVE-2025-11371), web.config dosyasından makine anahtarına erişmeye yönelik yeni istismarla bir araya getirmeye çalışın.
Huntress, “Saldırgan anahtarları ele geçirdikten sonra, bir görünüm durumu seri durumdan çıkarma saldırısı gerçekleştirdi ve ardından yürütmenin çıktısını almaya çalıştı ancak başarısız oldu.” dedi.
Etkin istismarın ışığında, CentreStack ve Triofox kullanan kuruluşların 8 Aralık 2025’te yayınlanan en son sürüm olan 16.12.10420.56791’e güncellenmesi gerekmektedir. Ayrıca, web.config dosya yolunun şifrelenmiş temsili olan “vghpI7EToZUDIZDdprSubL3mTZ2” dizesinin varlığı açısından günlüklerin taranması önerilir.
Olay göstergeleri veya uzlaşmanın (IoC’ler) tespit edilmesi durumunda, aşağıdaki adımlar izlenerek makine anahtarının döndürülmesi zorunludur:
- Centrestack sunucusunda Centrestack kurulum klasörü C:\Program Files (x86)\Gladinet Cloud Enterprise\root’a gidin
- web.config dosyasının yedeğini alın
- IIS Yöneticisini açın
- Sitelere Git -> Varsayılan Web Sitesi
- ASP.NET bölümünde Makine Anahtarı’na çift tıklayın.
- Sağ bölmedeki ‘Anahtar Oluştur’u tıklayın
- Root\web.config dizinine kaydetmek için Uygula’ya tıklayın
- Tüm çalışan düğümler için aynı adımı tekrarladıktan sonra IIS’yi yeniden başlatın