كشفت دراسة أمنية حديثة عن وجود ثغرة أمنية خطيرة، تعرف بـ ثغرات التشفير، في برامج CentreStack و Triofox من شركة Gladinet، مما أثر على تسع مؤسسات حتى الآن. وتسمح هذه الثغرة للمهاجمين بالوصول إلى ملفات حساسة وتنفيذ تعليمات برمجية عن بعد.
أوضحت شركة Huntress للأمن السيبراني، التي اكتشفت المشكلة، أن الثغرة ناتجة عن استخدام مفاتيح تشفير ثابتة (Hard-coded cryptographic keys) داخل المنتجات. وأشار باحثون إلى أن هذه المفاتيح يمكن استغلالها للوصول إلى ملفات مثل web.config، مما يفتح الباب أمام هجمات استيلاد البيانات (Deserialization) وتنفيذ التعليمات البرمجية عن بعد (Remote Code Execution).
ثغرات التشفير في CentreStack و Triofox تثير قلق المؤسسات
تكمن المشكلة الأساسية في وظيفة باسم “GenerateSecKey()” موجودة في ملف “GladCtrl64.dll”. هذه الوظيفة مسؤولة عن توليد المفاتيح التشفيرية اللازمة لتشفير تذاكر الوصول التي تحتوي على بيانات المصادقة، مثل اسم المستخدم وكلمة المرور، للسماح بالوصول إلى نظام الملفات. ولكن، ولأن هذهالوظيفة تعيد نفس السلاسل النصية دائمًا، تظل المفاتيح ثابتة ولا تتغير.
هذا الثبات في المفاتيح يسمح للمهاجمين بفك تشفير أي تذكرة وصول يتم إنشاؤها بواسطة الخادم، أو حتى إنشاء تذكرة خاصة بهم. ونتيجة لذلك، يمكن استغلال هذه الثغرة للوصول إلى ملفات تحتوي على معلومات قيمة، وعلى رأسها ملف web.config.
من خلال الوصول إلى ملف web.config، يمكن للمهاجمين الحصول على مفتاح الجهاز (Machine Key) الضروري لتنفيذ هجمات استيلاد البيانات وتنفيذ التعليمات البرمجية عن بعد.
تفاصيل الاستغلال والهجمات النشطة
بحسب تقارير Huntress، تتخذ الهجمات شكل طلبات URL مصممة خصيصًا لنقطة النهاية “/storage/filesvr.dn”. وغالباً ما تترك هذه الطلبات حقلي اسم المستخدم وكلمة المرور فارغين، مما يدفع التطبيق إلى استخدام هوية حساب خدمة IIS الافتراضية.
علاوة على ذلك، يتم تعيين حقل الطابع الزمني في تذكرة الوصول إلى قيمة “9999”، مما يعني أن التذكرة لا تنتهي صلاحيتها فعليًا. وهذا يسمح للمهاجمين بإعادة استخدام نفس الـ URL بشكل مستمر لتنزيل تكوين الخادم.
التأثير وعدد المؤسسات المتضررة
حتى تاريخ 10 ديسمبر، تأثرت تسع مؤسسات مختلفة بهذه الثغرة الأمنية المكتشفة حديثًا. وتتنوع هذه المؤسسات بين قطاعات مختلفة، بما في ذلك قطاع الرعاية الصحية والتكنولوجيا. وتشير التحقيقات إلى أن الهجمات تنطلق من عنوان IP محدد (147.124.216[.]205)، وتهدف إلى ربط هذه الثغرة الناشئة مع ثغرة سابقة تم اكتشافها في نفس التطبيقات (CVE-2025-11371) للوصول إلى مفتاح الجهاز من ملف web.config.
بعد الحصول على المفاتيح، يقوم المهاجمون بتنفيذ هجمات استيلاد البيانات، ثم يحاولون استخراج نتائج التنفيذ، وهو ما لم ينجح في بعض الحالات.
التوصيات والإجراءات الوقائية
نظرًا للاستغلال النشط لهذه الثغرة، تنصح Huntress المؤسسات التي تستخدم CentreStack و Triofox بتحديث منتجاتها إلى أحدث إصدار متاح، وهو 16.12.10420.56791، الذي تم إصداره في 8 ديسمبر 2025. بالإضافة إلى ذلك، يُنصح بالبحث في سجلات النظام عن السلسلة النصية “vghpI7EToZUDIZDdprSubL3mTZ2″، والتي تمثل التمثيل المشفر لمسار ملف web.config.
خطوات تأمين مفتاح الجهاز
في حال اكتشاف مؤشرات اختراق (IoCs)، يجب على المؤسسات تغيير مفتاح الجهاز (Machine Key) فورًا باتباع الخطوات الموضحة. تشمل هذه الخطوات، على سبيل المثال لا الحصر، نسخ ملف web.config احتياطيًا، واستخدام مدير خدمات IIS لتوليد مفاتيح جديدة، ثم إعادة تشغيل IIS على جميع الخوادم العاملة.