最近の7-Zipの脆弱性が攻撃で悪用される

脅威アクターが、リモートコード実行（RCE）につながる最近修正された7-Zipの脆弱性を悪用していると、NHSイングランドが警告しています。

このバグはCVE-2025-11001（CVSSスコア7.0）として追跡されており、ファイル解析時のディレクトリトラバーサル問題と説明されており、悪用にはユーザーの操作が必要です。

この脆弱性は7-ZipがZIPファイル内のシンボリックリンクを処理する方法に影響し、細工されたデータによって処理中に意図しないディレクトリへ移動される可能性があります。

「攻撃者はこの脆弱性を利用して、サービスアカウントのコンテキストでコードを実行することができます」とTrend Micro Zero Day Initiative（ZDI）のアドバイザリには記載されています。ZDIによると、攻撃ベクトルは実装に依存します。

このセキュリティ欠陥と、同様の脆弱性であるCVE-2025-11002の発見には、GMO Flatt Securityの志賀亮太氏がクレジットされています。

両方の問題は5月に7-Zipの開発者に報告され、7月にリリースされた7-Zipバージョン25.00で修正されました。

現在、イングランド国民保健サービス（NHS）の主要統括機関であるNHSイングランドは、脅威アクターが野放しの脆弱な7-Zipインストールを標的にしていると警告しています。

「CVE-2025-11001の積極的な悪用が実際に確認されています」と同機関のアドバイザリには記載されており、このバグを標的とした概念実証（PoC）エクスプロイトが公開されていることを指摘しています。

「このPoCにより、攻撃者はシンボリックリンクの処理を悪用して、意図された展開フォルダの外にファイルを書き込むことができ、場合によっては任意のコード実行が可能になります」とNHSイングランドは述べています。

セキュリティエンジニアのDominik C.によると、悪用された脆弱性は7-Zipバージョン21.02から24.09までのLinuxからWindowsへのシンボリックリンク変換の方法に影響し、Windowsシステムでのみ悪用可能です。

パーサーがLinuxのシンボリックリンクをWindows形式のC:\パスで相対パスとしてマークしつつ、リンクパスを完全なC:\パスに設定するため、この問題は絶対パスへのリンク作成を防ぐチェックを回避する形で悪用可能になると、セキュリティエンジニアは説明しています。

これにより、攻撃者は任意のディレクトリに悪意のあるバイナリを書き込むシンボリックリンクを作成できますが、7-Zipが管理者権限で実行されている場合に限ります。

「これは、7-Zipプロセスがシンボリックリンクを作成するためであり、これはWindows上では特権操作です。そのため、7-Zipがサービスアカウントで使用されている場合のみ、悪用が意味を持ちます」とエンジニアは述べています。