黑客正针对两款远程文件安全访问共享产品—— CentreStack 与 Triofox 发起攻击，其所用的突破口，是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。

安全研究人员发出警告，攻击者可借助该漏洞获取硬编码加密密钥，进而实现远程代码执行。尽管该新型加密漏洞目前尚未获得官方漏洞编号，但 Gladinet 方面已向客户推送相关通知，建议用户将产品更新至 11 月 29 日发布的最新版本。该公司同时向客户提供了一套入侵指标，表明该漏洞已被用于野外攻击。

托管式网络安全平台 Huntress 的安全研究人员证实，目前至少有 9 家机构遭到攻击。攻击者在攻击中同时利用了上述新漏洞，以及一个编号为 CVE-2025-30406 的旧漏洞——这是一个本地文件包含漏洞，本地攻击者可利用该漏洞在无需身份验证的情况下访问系统文件。

硬编码加密密钥漏洞原理

借助 Gladinet 提供的入侵指标，Huntress 的研究人员成功定位该漏洞的触发位置，并厘清了威胁者的利用方式。

研究发现，该漏洞根源在于 Gladinet CentreStack 与 Triofox 两款产品对 AES 加密算法的自定义实现环节——加密密钥与初始化向量（IV）被硬编码在 GladCtrl64.dll 文件中，攻击者可轻易提取。 

具体而言，密钥值由两段固定的 100 字节中日文文本字符串生成，且所有产品安装实例中的该字符串完全一致。 

漏洞的核心触发点在于对 filesvr.dn 处理器的处理逻辑：该处理器会使用上述静态密钥对 t 参数（即访问令牌）进行解密操作。 

任何获取这些密钥的攻击者，都可解密包含文件路径、用户名、密码及时间戳等信息的访问令牌，甚至能伪造令牌冒充合法用户，向服务器发送指令以读取磁盘中的任意文件。

研究人员指出：" 由于这些密钥永久固定不变，我们只需从内存中提取一次，就能用其解密服务器生成的所有令牌；更危险的是，攻击者还能利用密钥自行加密生成恶意令牌。"  

Huntress 观测到，攻击者会利用硬编码 AES 密钥伪造访问令牌，并将令牌的时间戳设置为 9999 年，以此实现令牌永久有效。 

随后，攻击者会向服务器发起请求，获取 web.config 配置文件。该文件中包含 machineKey 密钥，攻击者可借助此密钥，通过视图状态反序列化漏洞触发远程代码执行。

开发活动

目前，除已确认的攻击源 IP 地址 147.124.216 [ . ] 205 外，相关攻击的具体归属组织尚未明确。

在攻击目标方面，Huntress 证实，截至 12 月 10 日，已有来自医疗、科技等多个行业的 9 家机构遭到攻击。研究人员建议，Gladinet CentreStack 与 Triofox 的用户应尽快将产品升级至 12 月 8 日发布的 16.12.10420.56791 版本，同时更换系统的 machineKey 密钥。

此外，用户还应扫描系统日志，排查是否存在字符串 vghpI7EToZUDIZDdprSubL3mTZ2 ——该字符串与加密后的文件路径相关联，是判定系统是否遭入侵的唯一可靠指标。

目前，Huntress 已在其发布的报告中提供漏洞缓解指导方案，同时附上相关入侵指标，供安全防护人员用于加固防护体系，或排查自身系统是否已遭到入侵。