TokyoBlackHatNews

csoonline.com 5分で読了

Gladinetのファイル共有ゼロデイ、修正済みの脆弱性が再び悪用される

犯罪者が新たな脆弱性を標的にしており、対策が急務だとマネージドSOC企業が警告

犯罪者がGladinet CentreStackおよびTriofoxのファイル共有サーバーに存在する新たなゼロデイ脆弱性を悪用しており、4月に修正された以前の脆弱性と同じ状況を再現できる可能性があると、セキュリティ企業Huntressが警告しています

通常、組織は脆弱性にパッチを適用すれば、次の問題が発生するまで完了したと考えます。しかし、CVE-2025-11371(認証不要のローカルファイルインクルージョン脆弱性)の場合、事態はより複雑になりそうです。

Huntressは9月27日、同社のマネージドセキュリティオペレーションセンター(SOC)の検知器が、顧客のソフトウェアでCentreStackの悪用が成功したことを警告した際にCVE-2025-11371を発見しました。

当初、エンジニアはこれが4月に公開された同じソフトウェアの以前のゼロデイ(リモートコード実行(RCE)を可能にするViewStateデシリアライズ脆弱性、CVE-2025-30406として追跡)に関連していると考えました。

しかし、エンジニアは標的となった顧客がその脆弱性に対するパッチが適用されたCentreStackのバージョンを使用していることを発見しました。さらに分析を進めると、今回の検知は全く新しい脆弱性であり、Huntressの顧客3社が標的になっていたことが判明しました。

2つの脆弱性の物語

4月に明らかになったCVE-2025-30406の根本的な問題は、CentreStackとTriofoxがハードコーディングされたmachineKeyに依存していたことでした。この脆弱性を悪用するためには攻撃者がこのmachineKeyを発見する必要がありましたが、すべてのインストールで同じキーが使われていたため、発見が容易でした。

パッチによって新しいインストールごとに独自のキーが生成されるようになり、既存のキーは管理者が手動で切り替える必要がありました。

これがCVE-2025-11371とどう関係するのでしょうか。Huntressの説明によれば、新しい脆弱性は「攻撃者がアプリケーションのWeb.configファイルからmachineKeyを取得し、前述のViewStateデシリアライズ脆弱性[CVE-2025-30406]を介してリモートコード実行を行うことを可能にする」ものでした。

つまり、新たな脆弱性を悪用することで、攻撃者は必要なmachineKeyを入手でき、CVE-2025-30406の修正で変更されたキーも含まれます。

したがって、CVE-2025-11371CVE-2025-30406とは異なるものの、4月の脆弱性を危険なものにしていた重要な部分を間接的に再び有効化する手段として利用される可能性があります。

対策方法

CentreStackおよびTriofoxファイル共有サーバーの全バージョン(16.7.10368.56560を含む)にCVE-2025-11371の脆弱性があります。

悪いニュースとしては、Gladinetはまだこの脆弱性に対するパッチをリリースしていないため、現時点で顧客ができる最善の方法は推奨される緩和策を適用することです。

幸いなことに、Huntressによれば対策は比較的簡単です。UploadDownloadProxyのWeb.configファイル内でtemp handlerを無効化してください。場所は以下の通りです:

C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config

「これによりプラットフォームの一部機能に影響が出ますが、パッチが適用されるまでこの脆弱性が悪用されるのを防ぐことができます」とHuntressは述べています。

GladinetはHuntressとは独立して、共通の顧客を通じてこの脆弱性を発見したようで、他の顧客にも緩和策を通知しています。

この脆弱性の発見は、優れたSOC管理によって、たとえ未知の脆弱性であっても悪用を検知できることを改めて示しています。今回の場合、Huntressの警告によれば「Webサーバープロセスの子として実行される不規則なbase64ペイロード」が検出されました。

「『完全にパッチ済み』だからといって安全だと決めつけないでください」とHuntressのアドバーサリー戦術ディレクター、ジェイミー・レヴィ氏はCSO Onlineに語りました。

「新たなGladinetのローカルファイルインクルージョン脆弱性は、パッチ適用後のリグレッションによって重大なリスク経路が再び導入される可能性を示しています。疑わしい場合は、ベンダーが検証済みのパッチをリリースするまで、一部機能に影響があっても脆弱なハンドラーを直ちに隔離または無効化して、悪用の機会を閉じてください」と同氏は述べました。

ファイル共有やファイル転送システムは、データ窃取や恐喝を狙う攻撃者の標的として今や一般的になっています。最近の例としては、FortraのGoAnywhere MFTソフトウェアの脆弱性や、2023年に2,600組織が被害を受けたMOVEitファイル転送サービスへの攻撃などがあります。

翻訳元: https://www.csoonline.com/article/4071773/gladinet-file-sharing-zero-day-brings-patched-flaw-back-from-the-dead.html

ソース: csoonline.com
#AI in Cybersecurity #CentreStack #CVE-2025-11371 #File Sharing Security #Gladinet #Local File Inclusion #Patch Management #RCE (Remote Code Execution) #TrioFox #Zero-day Vulnerability

関連記事

米下院の新しいプライバシー法案は企業データ収集について難しい問題を提起している

Scattered Spiderの共謀者が有罪答弁

CISAはAnthropicのMythosへのアクセスで最後尾