Gladinet Sabit Anahtar Açığı: 9 Kuruluş Web.config Dosyası İstismarına Maruz Kaldı

Saldırının Genel Çerçevesi

Gladinet’in “GenerateSecKey()” fonksiyonunda bulunan sabit kodlanmış kriptografik anahtarlar, yetkisiz erişim ve uzaktan kod çalıştırma saldırılarının kapısını araladı. Bu anahtarlar, erişim biletlerinin şifrelenmesinde kullanılıyor ve sabit olmaları nedeniyle saldırganların geçerli biletleri çözmesine veya sahte biletler oluşturmasına olanak tanıyor. Böylece, hassas web.config dosyasına erişim sağlanarak ViewState deseralizasyonu yoluyla uzaktan kod çalıştırma gerçekleştirilebiliyor.

Hangi Sistemler Risk Altında?

Aralık 2025 itibarıyla sağlık ve teknoloji sektörlerinden dokuz farklı kuruluşun etkilendiği tespit edildi. Saldırılar, 147.124.216.205 IP adresinden gerçekleştirildi ve daha önce bildirilen CVE-2025-11371 güvenlik açığı ile zincirlenerek web.config dosyasından makine anahtarına erişim hedeflendi. Özellikle CentreStack ve Triofox kullanan sistemler risk altında bulunuyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırı, özel hazırlanmış URL istekleri ile /storage/filesvr.dn uç noktasına yönlendiriliyor. Kullanıcı adı ve şifre alanlarının boş bırakılması, uygulamanın IIS Uygulama Havuzu Kimliği ile işlem yapmasına neden oluyor. Ayrıca, erişim biletindeki zaman damgası 9999 olarak ayarlanarak süresiz geçerli bilet oluşturuluyor. Bu durum, saldırganların aynı URL’yi tekrar kullanarak sunucu yapılandırmasını indirmesine imkan sağlıyor.

GenerateSecKey() fonksiyonunun sabit 100 baytlık metin dizileri döndürmesi, anahtarların değişmez olmasına yol açıyor. Bu da saldırganların makine anahtarını elde edip ViewState deseralizasyon saldırısı yapmasına olanak tanıyor. Huntress tarafından yapılan analizlerde, saldırganların yürütme çıktısını almaya çalıştığı ancak başarısız olduğu belirtildi.

Siber Güvenlik Ekipleri İçin Öneriler

• CentreStack ve Triofox kullanıcıları, 8 Aralık 2025’te yayımlanan 16.12.10420.56791 sürümüne acilen güncelleme yapmalı.
• Web.config dosyasının şifreli temsili olan “vghpI7EToZUDIZDdprSubL3mTZ2” dizisi günlüklerde aranmalı ve anormal aktiviteler tespit edilmeli.
• Makine anahtarı, aşağıdaki adımlarla değiştirilerek eski anahtarların geçerliliği kaldırılmalı:
• Centrestack sunucusunda kurulum klasörüne gidin: C:\Program Files (x86)\Gladinet Cloud Enterprise\root
• web.config dosyasının yedeği alınmalı.
• IIS Yöneticisi açılarak Siteler -> Varsayılan Web Sitesi -> ASP.NET -> Makine Anahtarı yoluyla anahtarlar oluşturulmalı.
• Değişiklikler kaydedilip IIS yeniden başlatılmalı.
• EDR ve SIEM sistemlerinde bu saldırı göstergeleri için özel kurallar oluşturulmalı, özellikle anormal URL istekleri ve süresiz erişim biletleri izlenmeli.
• Ağ segmentasyonu ve IAM politikaları gözden geçirilerek, kritik dosyalara erişim sınırlandırılmalı.

Teknik Özet

• Kullanılan araçlar ve teknikler: Sabit kodlanmış kriptografik anahtarlar, ViewState deseralizasyonu, uzaktan kod çalıştırma.
• Hedef sektörler: Sağlık, teknoloji ve diğer kritik altyapılar.
• Kullanılan zafiyetler: CVE-2025-11371 ve sabit anahtar açığı.
• Saldırı zinciri: Sabit anahtarların kullanımı > yetkisiz erişim bileti oluşturma > web.config dosyasına erişim > ViewState deseralizasyonu ile kod çalıştırma.
• Önerilen savunma: Yazılım güncellemesi, makine anahtarı değişikliği, log analizi, EDR ve SIEM entegrasyonu, ağ segmentasyonu.

Bu saldırı, özellikle bulut güvenliği ve olay müdahale süreçlerinde kritik öneme sahip. E-posta güvenliği ve fidye yazılımı gibi diğer tehditlerle birlikte değerlendirildiğinde, çok katmanlı savunma stratejilerinin önemi ortaya çıkıyor.