Resumo
O grupo Clop iniciou uma campanha de extorsão de dados direcionada a servidores Gladinet CentreStack (e Triofox), explorando vulnerabilidades que permitem acesso sem autenticação e criação de bilhetes persistentes. Organizações com instâncias Internet‑facing devem atualizar e rodar investigação urgente.
Descoberta e escopo
Relatórios apontam que o ator de ameaça Clop está explorando servidores CentreStack expostos na Internet para roubo de dados. Scanneres identificaram mais de 200 endereços IP públicos com título HTTP “CentreStack – Login”, indicando superfície de ataque significativa.
Pesquisadores associam a campanha à exploração de pelo menos duas falhas técnicas identificadas nos produtos CentreStack/Triofox:
- CVE‑2025‑11371: Local File Inclusion não autenticada que permite recuperar a chave de máquina do arquivo Web.config.
- CVE‑2025‑14611: Uso de chaves criptográficas hardcoded na implementação AES, facilitando descriptografia e forjamento de tickets de acesso.
Vetor e cadeia de ataque
O relatório técnico descreve um fluxo de exploração repetido:
- Atacantes acessam o endpoint vulnerável
/storage/t.dnusando sequences de directory traversal no parâmetro de consulta para recuperar Web.config e extrair a machine key. - Com a chave, executam ataques de deserialização de ViewState (ViewState deserialization) para obter execução remota de código.
- As chaves hardcoded (CVE‑2025‑14611) permitem, ainda, criar tickets de acesso com timestamps absurdos (ex.: ano 9999), garantindo acesso persistente e indefinido.
Exemplo de requisição mostrada pelos pesquisadores:
GET /storage/t.dn?s=..\\..\\..\\Program+Files+(x86)\\Gladinet+Cloud+Enterprise\\root\\Web.config&sid=1
Impacto e mitigação
Essas técnicas permitem exfiltração sem autenticação, dificultando a detecção. O grupo Clop, já conhecido por atacar soluções de transferência e armazenamento de arquivos (MOVEit, SolarWinds Serv‑U, GoAnywhere, entre outros), segue um playbook comprovado: descobrir acesso, extrair dados, e pressionar por resgate/extorsão.
As recomendações imediatas publicadas são:
- Atualizar CentreStack/Triofox para a versão 16.12.10420.56791 sem demora.
- Rotacionar as machine keys e quaisquer segredos embutidos nas aplicações.
- Revisar logs web por GETs suspeitos para o endpoint
/storage/t.dne por strings comovghpI7EToZUDIZDdprSubL3mTZ2, identificada como caminho cifrado para o Web.config. - Investigar sinais de acessos indevidos e realizar análise forense em sistemas potencialmente afetados.
Recomendações operacionais para CISOs
Equipes de segurança devem priorizar inventário de instâncias CentreStack/Triofox expostas, aplicar patches e revisar práticas de gestão de chaves. Dado o modus operandi do Clop, assume‑se que sistemas comprometidos podem ter tido dados exfiltrados mesmo se não houver sinais óbvios de encriptação/ransomware ainda.
Controles sugeridos:
- Bloquear exposição pública de painéis de login via WAF/ACLs e exigir VPN/zero‑trust para administração.
- Monitorar e alertar para padrões de acesso anômalos ao endpoint
/storage/t.dne para tickets com validade tosca (timestamps incomuns). - Isolar servidores comprometidos e capturar artefatos para entender escopo de exfiltração.
Limitações das informações públicas
Os relatórios indicam encontros de incident responders e mais de 200 IPs potencialmente vulneráveis, mas não há, até o momento, listagem pública de vítimas confirmadas ou volumetria de dados exfiltrados por essa campanha especificamente. Também não foi divulgado se o exploit usado é um zero‑day público ou um n‑day ainda não amplamente descrito.
Fonte
O resumo foi construído a partir da cobertura publicada pelo Cyber Security News e das observações de pesquisadores e analistas citados na matéria (Curated Intelligence), que notificaram incident responders sobre a campanha.