CentreStack and Triofox

Die Schwachstelle betrifft die Dateiserver-Produkte CentreStack und Triofox von Gladinet. Ihre AES-Verschlüsselung war mit fest im Code hinterlegten Werten implementiert – also mit kryptografischen Schlüsseln, die bei allen Installationen identisch und vorab bekannt sind, statt für jede Umgebung individuell erzeugt zu werden. Dadurch verliert die Verschlüsselung gerade an öffentlich aus dem Internet erreichbaren Endpunkten ihren Schutz. Ein Angreifer kann diese Schwäche ausnutzen, indem er eine speziell präparierte Anfrage ohne vorherige Anmeldung sendet, und so beliebige lokale Dateien des Systems einbinden und auslesen. Das verschafft ihm Zugriff auf Inhalte, die eigentlich geschützt sein sollten. Besonders heikel ist die Verkettbarkeit: In Kombination mit weiteren Schwachstellen lässt sich der Fehler zu einer vollständigen Übernahme des betroffenen Systems ausbauen. Betroffen sind exponierte Installationen beider Produkte.