Vulnerabilità Shock su Gladinet: Chiavi fisse aprono le porte agli hacker – Aggiornate subito i vostri sistemi!

News
Visite: 203

Una nuova e grave vulnerabilità è stata scoperta nei prodotti CentreStack e Triofox di Gladinet, che sta già venendo attivamente sfruttata da attori malevoli. Questa falla di sicurezza nasce dall'utilizzo di chiavi crittografiche hard-coded, ovvero chiavi fisse all'interno del codice dei software che non cambiano mai. Questa pratica compromette la sicurezza dei sistemi, poiché permette agli attaccanti di decifrare o creare ticket di accesso falsi, ottenendo così accesso non autorizzato a file sensibili come il file web.config.

Il problema nella generazione delle chiavi

Il problema risiede nella funzione GenerateSecKey() all'interno della libreria GladCtrl64.dll, incaricata di generare le chiavi crittografiche necessarie per criptare i ticket di accesso che contengono dati di autorizzazione come username e password. Tuttavia, la funzione restituisce sempre la stessa stringa di testo da 100 byte, e quindi le chiavi derivate sono sempre identiche. In questo modo, chiunque conosca la funzione e le chiavi può decifrare ogni ticket generato dal server o persino crearne uno personalizzato e valido.

Modalità di attacco e impatti

Gli attaccanti sfruttano questa debolezza inviando richieste URL appositamente costruite all’endpoint /storage/filesvr.dn, riuscendo a scaricare file come web.config e a ottenere la machine key necessaria per eseguire codice remoto tramite deserializzazione ViewState. In molti casi, i campi Username e Password nei ticket sono lasciati vuoti, così l’applicazione utilizza l’identità di default di IIS, e il campo timestamp è impostato a 9999, rendendo il ticket praticamente eterno e riutilizzabile.

Analisi degli attacchi e raccomandazioni

Secondo le analisi di Huntress, almeno nove organizzazioni sono state colpite da questa vulnerabilità, appartenenti a settori come sanità e tecnologia. Gli attacchi provengono da un indirizzo IP specifico e spesso vengono combinati con una vulnerabilità precedente (CVE-2025-11371) per ottenere la machine key dal file di configurazione. Una volta ottenute le chiavi, gli attaccanti tentano l’esecuzione di codice remoto tramite ViewState, puntando all’esfiltrazione di dati o al controllo del server.

Si consiglia fortemente a tutte le aziende che usano CentreStack e Triofox di aggiornare immediatamente all’ultima versione disponibile (16.12.10420.56791) e di controllare i log per la presenza di stringhe sospette che indicano tentativi di accesso al web.config. In caso di compromissione, è fondamentale ruotare la machine key seguendo le procedure indicate dalla documentazione ufficiale Gladinet. Questa vulnerabilità rappresenta la terza falla critica sfruttata attivamente nei prodotti Gladinet solo nel 2025, evidenziando la necessità di una gestione più sicura delle chiavi crittografiche nei software aziendali.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.