技术摘要

Gladinet的CentreStack和Triofox产品存在一个严重的安全漏洞，源于位于GladCtrl64.dll中的GenerateSecKey()函数使用了硬编码的加密密钥。该函数生成用于派生加密密钥的静态100字节字符串，这些密钥用于加密包含用户名和密码等授权数据的访问票据。由于这些密钥永不更改，攻击者可以解密任何服务器生成的票据或伪造自己的票据，从而实现未授权访问文件系统。

具体而言，攻击者利用此漏洞访问web.config文件，该文件包含敏感配置数据，包括用于ASP.NET ViewState加密的机器密钥。通过获取机器密钥，攻击者可以执行ViewState反序列化攻击，从而导致远程代码执行（RCE）。攻击向量涉及向/storage/filesvr.dn端点发送特制的HTTP请求，其中包含被篡改的访问票据（用户名和密码字段为空），导致系统回退到IIS应用程序池身份。此外，这些票据中的时间戳被设置为异常高的值（9999），有效地创建了永不过期且允许无限次重复使用的票据。

该漏洞已至少针对医疗保健和技术等多个行业的九个组织被活跃利用。攻击还与此前披露的漏洞（CVE-2025-11371）串联，以从web.config文件中提取机器密钥。供应商已于2025年12月8日发布了修补版本（16.12.10420.56791），并建议扫描日志以查找表明利用尝试的特定加密字符串。补救措施包括更新软件、通过IIS管理器轮换机器密钥以及重启所有工作节点上的IIS服务。

潜在影响

对于欧洲组织而言，此漏洞带来了严重的风险，可能导致未授权访问关键配置文件，并通过远程代码执行造成潜在的全系统沦陷。医疗保健和技术行业因其频繁使用CentreStack和Triofox进行云存储和文件共享而尤其脆弱。利用该漏洞可能导致敏感患者数据暴露、知识产权盗窃、服务中断以及违反GDPR法规。

伪造票据的持久性使攻击者能够获得长期访问权限，增加了数据外泄和网络内横向移动的风险。回退到IIS应用程序池身份可能授予提升的权限，进一步加剧影响。鉴于该漏洞的活跃利用以及与其他漏洞串联的能力，受影响的组织面临运营、声誉和财务损失。事件响应和取证调查可能因攻击向量的隐蔽性而变得复杂。依赖这些产品进行欧洲关键基础设施或云服务的组织必须优先进行缓解，以防止严重的违规行为。

缓解建议

欧洲组织应立即将CentreStack和Triofox升级到16.12.10420.56791或更高版本以修补该漏洞。他们必须扫描服务器日志中是否存在加密字符串'vghpI7EToZUDIZDdprSubL3mTZ2'，以检测潜在的利用尝试。如果发现入侵指标，应使用IIS管理器轮换web.config文件中的机器密钥：导航到“站点” -> “默认网站”，打开“ASP.NET 机器密钥”部分，生成新密钥，应用更改，并在所有工作节点上重启IIS服务。

进行彻底的访问日志和网络流量审计，以识别未授权访问或横向移动。实施严格的网络分段，并监控对/storage/filesvr.dn端点的异常请求。禁用或限制对不必要端点的访问，并对IIS应用程序池身份强制执行最小权限原则。部署应用层防火墙或Web应用防火墙（WAF），并配置自定义规则来检测和阻止针对此漏洞的畸形请求。定期审查和更新加密密钥管理策略，避免在未来部署中使用硬编码密钥。主动进行威胁搜寻，查找ViewState反序列化攻击的迹象，并确保事件响应团队为快速遏制做好准备。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙、比利时、波兰