ハッカーは、安全なリモートファイルアクセスと共有のためのGladinetのCentreStackおよびTriofox製品に実装されている暗号アルゴリズムに存在する、新たに発見された未公開の脆弱性を悪用しています。
このセキュリティ問題を悪用することで、攻撃者はハードコードされた暗号鍵を取得し、リモートコード実行(RCE)を達成できると研究者らは警告しています。
この新たな暗号上の脆弱性には公式な識別子はまだありませんが、Gladinetは顧客に対して問題を通知し、連絡時点で11月29日にリリースされていた最新バージョンへ製品を更新するよう勧告しました。
同社はまた、この問題が実際に悪用されていることを示す侵害の兆候(IoC)のセットも顧客に提供しました。
マネージドサイバーセキュリティプラットフォームであるHuntressのセキュリティ研究者らは、この新たな脆弱性とともに、CVE-2025-30406として追跡されている古い脆弱性(認証なしでローカル攻撃者がシステムファイルにアクセスできるローカルファイルインクルージョンの欠陥)を悪用した攻撃の標的となった組織を、少なくとも9件把握しています。
ハードコードされた暗号鍵
Gladinetが提供したIoCを用いて、Huntressの研究者らは欠陥の所在と、脅威アクターがそれをどのように悪用しているかを特定することができました。
Huntressは、問題がGladinet CentreStackおよびTriofoxにおけるAES暗号アルゴリズムのカスタム実装に起因していることを突き止めました。そこでは暗号鍵と初期化ベクトル(IV)がGladCtrl64.dllファイル内にハードコードされており、容易に取得できる状態になっていました。
具体的には、鍵の値は中国語と日本語のテキストからなる2つの静的な100バイトの文字列から導出されており、すべての製品インストールで同一でした。
欠陥は‘filesvr.dn’ハンドラーの処理に存在し、ここでは‘t’パラメータ(アクセスチケット)がこれらの静的鍵を用いて復号されると、Huntressは説明しています。
これらの鍵を抽出できる者は、ファイルパス、ユーザー名、パスワード、タイムスタンプを含むアクセスチケットを復号したり、独自のチケットを作成してユーザーになりすまし、サーバーにディスク上の任意のファイルを返すよう指示したりすることができます。
「これらの鍵は決して変わらないため、一度メモリから抽出してしまえば、サーバーによって生成されたあらゆるチケットを復号したり、さらに悪いことに、自分たちで暗号化したチケットを作成したりできる」と研究者らは述べています。
Huntressは、アクセスチケットがハードコードされたAES鍵を用いて偽造され、タイムスタンプが西暦9999年に設定されていることを観測しました。これによりチケットは期限切れになりません。
攻撃者は次に、サーバーのweb.configファイルを要求しました。そこにはmachineKeyが含まれているため、それを利用してViewStateのデシリアライズの欠陥を介したリモートコード実行を引き起こすことができました。
出典: Huntress
攻撃元IPアドレス147.124.216[.]205以外に、これらの攻撃について特定の関与主体の属性付けは行われていません。
標的については、Huntressは12月10日時点で、医療やテクノロジーを含むさまざまな分野の9組織を確認しています。
Gladinet CentreStackおよびTriofoxのユーザーには、可能な限り速やかにバージョン16.12.10420.56791(12月8日リリース)へアップグレードし、machineKeyもローテーションすることが推奨されています。
さらに、暗号化されたファイルパスに関連し、唯一信頼できる侵害の兆候とみなされている文字列‘vghpI7EToZUDIZDdprSubL3mTZ2’についてログをスキャンすることも推奨されています。
Huntressはレポートの中で、環境を保護したり侵害の有無を判断したりするために防御側が利用できる侵害の兆候とともに、緩和策に関するガイダンスを提供しています。
