«12345» habría sido más seguro: la criptografía integrada de CentreStack permitió el acceso a los servidores
Una cadena codificada en una DLL convierte los «tokens de acceso» de Gladinet en una llave maestra para los atacantes.
Gladinet tiene problemas otra vez: en los productos CentreStack y Triofox se encontró una vulnerabilidad relacionada con la criptografía integrada. Según Huntress, en la implementación de AES se usan claves codificadas de forma rígida, por lo que los atacantes pueden falsificar «tickets de acceso» para descargar archivos y acceder al archivo web.config. Y eso es un camino directo hacia el robo de la clave machineKey de ASP.NET y posteriores ataques mediante la deserialización de ViewState — incluso ejecución remota de código. Los investigadores subrayan que los ataques ya se están realizando "en vivo" y recomiendan actualizar urgentemente a la versión 16.12.10420.56791.
La esencia del problema está en el manejador de solicitudes que acepta un parámetro con un "ticket" cifrado (en su interior figura qué se solicita y con qué permisos). En condiciones normales esos tickets deberían estar vinculados a claves únicas y secretas de un servidor concreto. Pero Huntress descubrió que la clave y el IV son en realidad invariables: cada vez se obtienen a partir de las mismas cadenas estáticas dentro de la biblioteca del producto. Esto significa que, una vez que se obtienen esos valores, un atacante potencialmente puede tanto descifrar tickets ajenos como generar los suyos propios — y solicitar archivos sensibles en el servidor.
Luego entra en juego la cadena conocida por muchos administradores de IIS: al obtener el web.config, el atacante extrae la clave machineKey, que protege la integridad de ViewState. Con esa clave se hace posible falsificar los datos de ViewState y ataques a la deserialización, que en el peor de los casos conducen a RCE. El enfoque es bien conocido, y para el ecosistema de Gladinet ya había resonado antes: NVD describe CVE-2025-30406 como una vulnerabilidad de deserialización ligada a una machineKey codificada, y señala que ya se ha explotado en la naturaleza.
Huntress señala además que en sus observaciones los atacantes primero intentaron explotar la anterior vulnerabilidad LFI, CVE-2025-11371, y después el nuevo camino para extraer web.config y pasar a ataques sobre ViewState. A 10 de diciembre resultaron afectadas nueve organizaciones de distintos sectores; los investigadores relacionan intentos de explotación, en particular, con la dirección IP 147.124.216[.]205.
Qué deben hacer los defensores: Gladinet publicó actualizaciones, CentreStack, Triofox, y la recomendación clave ahora es, lo antes posible, migrar al compilado 16.12.10420.56791, y luego obligatoriamente cambiar o regenerar la clave machineKey (si no, incluso después del parche la clave robada seguirá siendo útil). Para la búsqueda en registros, Huntress también aconseja buscar el fragmento característico que aparece en las solicitudes al intentar acceder a web.config, aunque advierte que las cadenas completas del IoC pueden ser "resbaladizas" debido a valores temporales variables.