Állandó kulcs, egyszerű támadás
A probléma gyökere a cég saját fejlesztésű AES-titkosítási megoldásában rejlik: a titkosítási kulcsot és az inicializációs vektort konkrétan beleírták a GladCtrl64.dll fájlba, ráadásul mindkettő két statikus, teljesen azonos, kínai és japán nyelvű karakterláncból származik minden telepítésnél. Ezekkel a kulcsokkal a támadók képesek az úgynevezett hozzáférési jegyeket (Access Tickets) visszafejteni, amelyek érzékeny adatokat – fájl-elérési utakat, felhasználóneveket, jelszavakat és időbélyegeket – rejtenek, vagy akár saját jogosultságokat generálniuk, és gyakorlatilag bármilyen fájlhoz hozzáférhetnek a szerveren.
Nincs lejárat, könnyű beszivárgás
A támadók nem csupán hamis hozzáférési jegyeket (Access Tickets) kreáltak – időbélyegüket a 9999-es évre állították, így a hozzáférés sosem jár le. Ezek után célzottan lekérték a szerver „web.config” fájlját, amellyel kihasználhatták a ViewState-deszerializációs hibát, és távoli kódot futtathattak a rendszeren. Végül legalább kilenc szervezetnél azonosítottak jogosulatlan hozzáférést, köztük egészségügyi és technológiai cégeknél. A leggyanúsabb támadói IP-cím: 147.124.216.205.
Frissíts, ha számít az adataid biztonsága!
A Gladinet ügyfeleinek sürgősen érdemes a szoftvert a 16.12.10420.56791-es verzióra frissíteni, valamint a machineKey-kulcsokat is cserélni. Érdemes átnézni a naplókat a „vghpI7EToZUDIZDdprSubL3mTZ2” karakterlánc után kutatva – ez az egyetlen biztos jele a kompromittálódásnak. További védelmi tanácsokat a Huntress kiberbiztonsági csapatának jelentése nyújt.
