Huntressは、Gladinet CentreStackインスタンスを標的として暗号鍵を取得し、リモートコード実行を達成する新たな攻撃の波について警告している。
サイバーセキュリティ企業である同社によると、これらの攻撃の一環として、ハッカーはモバイルアクセスおよびセキュア共有ソリューションに存在する新たな脆弱性を悪用している。
悪用されている不具合は、Huntressによれば、攻撃者が暗号鍵「machineKey」を含む「web.config」ファイルにアクセスできてしまう不適切な暗号化実装の問題だ。
Huntressが攻撃を分析したところ、ハッカーはCentreStackが暗号鍵の導出に同じ2つの100バイトの文字列に依存している事実を悪用していることが判明した。
サイバーセキュリティ企業によると、この暗号情報を取得できた攻撃者は、将来の暗号化/復号処理にもそれを利用できるため、そのインスタンスが侵害されることになる。
「これらの鍵は決して変更されないため、一度メモリから抽出してしまえば、サーバーが生成したあらゆるチケットを復号できるだけでなく、さらに悪いことに、自分たちで暗号化したチケットを作成することも可能になります」とHuntressは述べている。
この2つの文字列を使うことで、攻撃者は誰でも「web.config」ファイルからmachineKeyを取得するためのリクエストを作成でき、そのリクエストはシステムから信頼されてしまう。
次に、machineKeyを手に入れた攻撃者は、偽造したViewStateペイロードを用いてASPX ViewStateメカニズムを逆シリアル化攻撃に悪用し、リモートコード実行を達成できる。
ViewStateの逆シリアル化問題は、今年、他の2つのCentreStack脆弱性、すなわちCVE-2025-30406およびCVE-2025-11371を標的とした攻撃でも悪用されている。
またHuntressは、攻撃者が悪意あるリクエストを作成する際、有効期限が切れないチケットを生成するよう細工していたことも突き止めた。これにより、同じURLを無期限に再利用して設定ファイルを取得できるようになっていた。
「12月10日時点で、当社はこの脆弱性の影響を受けた組織を9件確認しています。これらの企業は、ヘルスケアからテクノロジーまで、さまざまな業種にまたがっていました」とHuntressは述べている。
この欠陥にはCVE識別子はまだ割り当てられておらず、Gladinetも詳細を公表していない。しかし同社は11月下旬、最新のCentreStackアップデート(バージョン16.11.10417.56762)で解決されたセキュリティ問題について顧客に通知している。
組織は、12月10日にリリースされたCentreStackおよびTriofoxの最新バージョンである16.12.10420.56791へアップデートし、HuntressおよびGladinetが公開した侵害の痕跡(IoC)を確認することが推奨されている。
翻訳元: https://www.securityweek.com/gladinet-centrestack-flaw-exploited-to-hack-organizations/
