هجمات نشطة تستغل مفاتيح Gladinet الثابتة للوصول غير المصرح به وتنفيذ الشيفرة عن بُعد

هجمات نشطة تستغل مفاتيح Gladinet الثابتة للوصول غير المصرح به وتنفيذ الشيفرة عن بُعد
هجمات نشطة تستغل مفاتيح Gladinet الثابتة للوصول غير المصرح به وتنفيذ الشيفرة عن بُعد
شارك هذا الخبر

حذّرت شركة Huntress من ثغرة خطيرة يجري استغلالها حاليًا في منتجات Gladinet CentreStack وTriofox، بعد أن تبيّن أن المهاجمين يستغلون مفاتيح تشفير ثابتة (Hard‑coded Keys) للوصول غير المصرح به إلى ملفات حساسة وتنفيذ شيفرة ضارة عن بُعد. وقد تأثرت حتى الآن تسع مؤسسات من قطاعات مختلفة، بينها الرعاية الصحية والتكنولوجيا.

وتكمن المشكلة في دالة داخل مكتبة GladCtrl64.dll تُسمّى GenerateSecKey()، والتي تُرجع دائمًا السلاسل النصية نفسها بطول 100 بايت. وبما أن هذه السلاسل تُستخدم لاشتقاق مفاتيح التشفير، فإن المفاتيح لا تتغير مطلقًا، ما يسمح للمهاجمين بفك تشفير تذاكر الوصول أو تزويرها بالكامل.

استغلال يؤدي إلى الوصول إلى web.config وتنفيذ RCE

تتيح هذه الثغرة للمهاجمين الوصول إلى ملفات حساسة مثل web.config، والذي يحتوي على Machine Key المستخدم في عمليات ViewState Deserialization. وبمجرد حصول المهاجم على هذا المفتاح، يصبح قادرًا على تنفيذ شيفرة عن بُعد داخل الخادم.

وتتم الهجمات عبر طلبات URL مخصّصة تُرسل إلى المسار:

كتابة تعليمات برمجية

/storage/filesvr.dn

وتتضمن تذكرة وصول مشفّرة، لكن مع ترك حقول Username وPassword فارغة، مما يجبر التطبيق على استخدام IIS Application Pool Identity. كما يتم ضبط خانة الوقت في التذكرة على 9999، ما يجعلها صالحة إلى الأبد ويمكن إعادة استخدامها لتنزيل ملفات التكوين مرارًا.

ربط الثغرة بثغرات أخرى في سلسلة هجوم واحدة

تشير Huntress إلى أن الهجمات تأتي من عنوان IP:

كتابة تعليمات برمجية

147.124.216[.]205

ويبدو أن المهاجمين يربطون بين هذه الثغرة وثغرة سابقة هي CVE‑2025‑11371 للوصول إلى Machine Key ثم محاولة تنفيذ هجوم ViewState RCE. ورغم فشل محاولة استخراج المخرجات، فإن سلسلة الهجوم تشير إلى معرفة عميقة بتاريخ ثغرات Gladinet.

تحديثات عاجلة وخطوات فحص واستجابة

أصدرت Gladinet تحديثًا عاجلًا للإصدار:

16.12.10420.56791 — بتاريخ 8 ديسمبر 2025

وتوصي Huntress المؤسسات بما يلي:

  • تحديث CentreStack وTriofox فورًا
  • فحص السجلات بحثًا عن السلسلة: vghpI7EToZUDIZDdprSubL3mTZ2 وهي تمثل المسار المشفّر لملف web.config
  • في حال وجود مؤشرات اختراق، يجب تدوير Machine Key عبر الخطوات التالية:
  1. الانتقال إلى مجلد التثبيت: C:\Program Files (x86)\Gladinet Cloud Enterprise\root
  2. أخذ نسخة احتياطية من web.config
  3. فتح IIS Manager
  4. الانتقال إلى: Sites → Default Web Site
  5. من قسم ASP.NET اختيار Machine Key
  6. الضغط على Generate Keys
  7. حفظ التغييرات في web.config
  8. إعادة تشغيل IIS وتكرار الخطوات على جميع العقد
ثالث ثغرة مستغلة في 2025

تُعد هذه الثغرة الثالثة التي تتعرض للاستغلال في CentreStack وTriofox خلال عام 2025، بعد:

  • CVE‑2025‑30406
  • CVE‑2025‑11371

وتشير Huntress إلى احتمال أن يكون مهاجم واحد وراء استغلال الثغرات الثلاث ضمن تسلسل هجوم منسّق.

وسوم
محمد طاهر
محمد طاهر
المقالات: 994

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة