Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Los actores maliciosos están explotando activamente criptografías débiles en Gladinet CentreStack y Triofox. La cadena aprovecha claves AES codificadas para recuperar el archivo web.config y luego se pasa a ataques de deserialización de ViewState. En dos incidentes observados el 15 de diciembre, PowerShell entregado a través del proceso de trabajo de IIS se utilizó para descargar y ejecutar un binario malicioso llamado conqueror.exe. La actividad está potencialmente vinculada al grupo de ransomware cl0p.
Investigación
Huntress registró que PowerShell generado por w3wp.exe invocó una carga útil codificada en base64 para obtener conqueror.exe desde 185.196.11.207. El ejecutable se guardó en C:UsersPublicconqueror.exe y se ejecutó para enumeración del host. El comportamiento posterior incluyó una solicitud curl al mismo servidor y el uso de quser.exe para listar sesiones activas. El ID de evento 1316 también capturó intentos de explotación desde 146.70.134.50 asociado con CVE-2025-30406.
Mitigación
Gladinet lanzó la versión 16.12.10420.56791, rotando claves criptográficas estáticas y corrigiendo la debilidad de deserialización de ViewState. Las organizaciones deben actualizar de inmediato y rotar los valores existentes de machineKey para invalidar la exposición previa. Revise los registros web en busca de la cadena de consulta cifrada «vghpI7EToZUDIZDdprSubL3mTZ2» para identificar sondas o explotación. Reduzca aún más el riesgo deshabilitando controladores IIS innecesarios y aplicando una estricta validación de entradas.
Respuesta
Alerta sobre PowerShell con cargas útiles base64 originadas de w3wp.exe y sobre la creación o ejecución de C:UsersPublicconqueror.exe. Aísle los hosts afectados, preserve la telemetría de IIS y del endpoint, y bloquee el tráfico saliente hacia las IPs y URLs maliciosas citadas. Verifique la integridad de web.config, rote las claves de máquina inmediatamente y realice una revisión forense de todos los sistemas CentreStack/Triofox para determinar el impacto y eliminar artefactos.
Flujo de ataque
Detecciones
Comportamiento sospechoso del servidor Microsoft IIS (via cmdline)
Visualizar
Posible explotación del servidor web o aplicación web [Windows] (via cmdline)
Visualizar
Archivos sospechosos en el perfil de usuario público (via file_event)
Visualizar
Ejecución sospechosa desde el perfil de usuario público (via process_creation)
Visualizar
Descarga o carga via Powershell (via cmdline)
Visualizar
Descarga sospechosa de archivos IP directa (via proxy)
Visualizar
IOCs (HashSha256) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Visualizar
IOCs (SourceIP) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Visualizar
IOCs (DestinationIP) para detectar: Explotación Activa de la Vulnerabilidad de Criptografía Insegura en Gladinet CentreStack/Triofox
Visualizar
Detección de Ejecución de PowerShell via cmd.exe con Codificación Base64 [Windows Powershell]
Visualizar
Posible Ejecución de Código Remoto a través del Proceso de Trabajo de IIS con PowerShell [Creación de Procesos Windows]
Visualizar
Petición GET cifrada para web.config en Gladinet CentreStack [Servidor web]
Visualizar
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a diagnósticos erróneos.
-
Narrativa y Comandos de Ataque:
Un atacante, habiendo identificado la instancia de Gladinet CentreStack, crea una carga cifrada que se ajusta al formato de consulta vulnerable. Usando un cliente web legítimo (por ejemplo,
curlo PowerShellInvoke-WebRequest), el atacante realiza una solicitud GET al punto final oculto/storage/filesvr.dncon el token cifrado que, al ser descifrado por el servidor, resuelve en una solicitud paraweb.config. La solicitud es indistinguible del tráfico normal a nivel de protocolo, pero el patrón único de texto cifrado es capturado por la regla de detección. -
Script de Prueba de Regresión:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simular solicitud GET cifrada para web.config en Gladinet CentreStack # ------------------------------------------------------------ # Servidor objetivo (reemplazar con hostname/IP real) TARGET="http://target-server.example.com" # Una de las cargas cifradas conocidas de la regla (ejemplo) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Realizar la solicitud curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Comandos de Limpieza:
# No se hicieron cambios persistentes en el objetivo; solo se generó tráfico de red. # Si se inició una regla de firewall temporal o captura de red para la prueba, elimínela: # Ejemplo: detener tcpdump (Linux) o eliminar filtro WinPcap (Windows) # sudo pkill -f tcpdump