Clop fidye yazılımı grubu, İnternet’e bakan Gladinet CentreStack dosya sunucularını hedef alan yeni bir veri gaspı kampanyası başlattı ve bu, tehdit aktörlerinin dosya aktarım çözümlerinden yararlanma modelinde yeni bir sayfa açtı.
Kampanyanın, saldırganların hassas kurumsal verilere yetkisiz erişim elde etmesine olanak tanıyan yakın zamanda keşfedilen güvenlik açıkları da dahil olmak üzere, CentreStack ve kardeş ürünü Triofox’taki çok sayıda güvenlik zayıflığından yararlandığı görülüyor.
Son bağlantı noktası tarama verileri, 200’den fazla benzersiz IP adresinin “CentreStack – Oturum Açma” HTTP başlığına sahip sistemleri çalıştırdığını ve bunların Clop grubu için potansiyel hedefler haline geldiğini gösteriyor.
Saldırganlar bu sistemleri tehlikeye atmak için sıfır günlük veya bilinmeyen n günlük bir güvenlik açığından yararlanıyor.
Küratörlü İstihbarat analistleri, kendi topluluklarından olay müdahale ekiplerinin birden fazla kuruluşta bu yeni gasp kampanyasıyla karşılaştığını ve bu saldırıların yaygın etkisine ilişkin endişeleri artırdığını belirtti.
Bu kampanya, Clop’un dosya aktarım sunucularını hedefleme konusundaki yerleşik taktik kitabını takip ediyor. Grup daha önce Oracle EBS, Cleo FTP, MOVEit, CrushFTP, SolarWinds Serv-U, PaperCut ve GoAnywhere gibi platformların güvenliğini ihlal etmişti.
CentreStack’e odaklanma, işletmeler tarafından güvenli dosya depolama ve paylaşım için yaygın olarak kullanılan sistemlerden yararlanarak hedefleme stratejilerinin genişletilmesini temsil ediyor.
CentreStack ve Triofox ürünlerinde iki kritik güvenlik açığı tespit edildi. Bunlardan ilki olan CVE-2025-11371, saldırganların uygulama Web.config dosyasından makine anahtarını almasına olanak tanıyan, kimliği doğrulanmamış bir yerel dosya ekleme kusurudur.
Dizin geçiş tekniklerini kullanan tehdit aktörleri, /storage/t.dn adresindeki güvenlik açığından yararlanarak sunucudaki herhangi bir dosyaya erişebilir.
İkinci güvenlik açığı olan CVE-2025-14611, AES uygulamasında saldırganların erişim biletlerinin şifresini çözüp kendi biletlerini oluşturmasına olanak tanıyan sabit kodlu şifreleme anahtarları içeriyor.
Saldırı Zincirinin Teknik Dağılımı
Saldırı, saldırganların savunmasız /storage/t.dn uç noktası üzerinden CentreStack sunucusunu hedef almasıyla başlıyor.
Sorgu parametresini dizin geçiş sıralarıyla değiştirerek, sabit kodlanmış makine anahtarlarını içeren Web.config dosyasını alırlar. Örnek bir istek şuna benzer: –
GET /storage/t.dn s=..\\..\\..\\Program+Files+(x86)\\Gladinet+Cloud+Enterprise\\root\\Web.config&sid=1Makine anahtarı alındıktan sonra saldırganlar, uzaktan kod yürütmeyi gerçekleştirmek için ViewState seri durumdan çıkarma saldırıları gerçekleştirir.
CVE-2025-14611’deki sabit kodlanmış kriptografik anahtarlar ayrıca, 9999 yılına ayarlanmış zaman damgalarıyla kalıcı erişim biletleri oluşturmalarına olanak tanıyarak, güvenliği ihlal edilmiş sisteme etkili bir şekilde süresiz erişim sağlar.
Bu teknikler, Clop grubunun kimlik doğrulama olmadan veri sızdırmasına olanak tanıyarak, etkilenen kuruluşlar için tespit ve önlemeyi zorlaştırıyor.
CentreStack veya Triofox çalıştıran kuruluşlar derhal 16.12.10420.56791 sürümüne güncellemeli ve makine anahtarlarını değiştirmelidir.
Yöneticiler ayrıca Web.config dosyasının şifrelenmiş yolunu temsil eden “vghpI7EToZUDIZDdprSubL3mTZ2″yi içeren şüpheli GET istekleri için web sunucusu günlüklerini incelemelidir.
MorWe Anında Güncellemeler Almak için bizi Google Haberler, LinkedIn ve X’te takip edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
