文章总结： 黑客利用GladinetCentreStack与Triofox产品硬编码AES密钥漏洞，伪造永久令牌结合CVE-2025-30406实现RCE，已致9家机构受害，官方已发补丁与入侵指标，用户需升级至16.12.10420.56791并更换machineKey、排查日志特征字符串vghpI7EToZUDIZDdprSubL3mTZ2。 综合评分： 92 文章分类： 漏洞预警,远程代码执行,加密安全,威胁情报,应急响应

黑客利用 Gladinet CentreStack 加密漏洞发起远程代码执行攻击

胡金鱼

嘶吼专业版

2025年12月24日 14:00 北京

黑客正针对两款远程文件安全访问共享产品——CentreStack与Triofox发起攻击，其所用的突破口，是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。

安全研究人员发出警告，攻击者可借助该漏洞获取硬编码加密密钥，进而实现远程代码执行。尽管该新型加密漏洞目前尚未获得官方漏洞编号，但Gladinet方面已向客户推送相关通知，建议用户将产品更新至11月29日发布的最新版本。该公司同时向客户提供了一套入侵指标，表明该漏洞已被用于野外攻击。

托管式网络安全平台Huntress的安全研究人员证实，目前至少有9家机构遭到攻击。攻击者在攻击中同时利用了上述新漏洞，以及一个编号为CVE-2025-30406的旧漏洞——这是一个本地文件包含漏洞，本地攻击者可利用该漏洞在无需身份验证的情况下访问系统文件。

硬编码加密密钥漏洞原理

借助Gladinet提供的入侵指标，Huntress的研究人员成功定位该漏洞的触发位置，并厘清了威胁者的利用方式。

研究发现，该漏洞根源在于Gladinet CentreStack与Triofox两款产品对AES加密算法的自定义实现环节——加密密钥与初始化向量（IV）被硬编码在GladCtrl64.dll文件中，攻击者可轻易提取。

具体而言，密钥值由两段固定的100字节中日文文本字符串生成，且所有产品安装实例中的该字符串完全一致。

漏洞的核心触发点在于对filesvr.dn处理器的处理逻辑：该处理器会使用上述静态密钥对t参数（即访问令牌）进行解密操作。

任何获取这些密钥的攻击者，都可解密包含文件路径、用户名、密码及时间戳等信息的访问令牌，甚至能伪造令牌冒充合法用户，向服务器发送指令以读取磁盘中的任意文件。

研究人员指出：“由于这些密钥永久固定不变，我们只需从内存中提取一次，就能用其解密服务器生成的所有令牌；更危险的是，攻击者还能利用密钥自行加密生成恶意令牌。”

Huntress观测到，攻击者会利用硬编码AES密钥伪造访问令牌，并将令牌的时间戳设置为9999年，以此实现令牌永久有效。

随后，攻击者会向服务器发起请求，获取web.config配置文件。该文件中包含machineKey密钥，攻击者可借助此密钥，通过视图状态反序列化漏洞触发远程代码执行。

开发活动

目前，除已确认的攻击源IP地址147.124.216[.]205外，相关攻击的具体归属组织尚未明确。

在攻击目标方面，Huntress证实，截至12月10日，已有来自医疗、科技等多个行业的9家机构遭到攻击。研究人员建议，Gladinet CentreStack与Triofox的用户应尽快将产品升级至12月8日发布的16.12.10420.56791版本，同时更换系统的machineKey密钥。

此外，用户还应扫描系统日志，排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——该字符串与加密后的文件路径相关联，是判定系统是否遭入侵的唯一可靠指标。

参考及来源：https://www.bleepingcomputer.com/news/security/hackers-exploit-gladinet-centrestack-cryptographic-flaw-in-rce-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《黑客利用 Gladinet CentreStack 加密漏洞发起远程代码执行攻击》