静的な AES キーにより攻撃者がアクセストークンを復号し、リモートコード実行に到達できる状況となり、緊急のパッチ適用が求められている
Gladinet のファイル共有サービスに依存している企業は、CentreStack と Triofox プラットフォームに直接組み込まれた暗号鍵を悪用する攻撃者を阻止するため、再びゼロデイ脆弱性へのパッチ適用に直面している。
サイバーセキュリティ企業 Huntress は、攻撃者がすでにハードコードされた鍵を悪用し、影響を受けるサーバー上でリモートコード実行(RCE)を行っていると警告した。
「Gladinet の CentreStack および Triofox 製品の AES 実装には、ハードコードされた暗号鍵が含まれています」と、Huntress の研究者はブログ投稿で述べている。「当社の顧客全体で、攻撃者がこの欠陥を標的にしているのを確認しています。」
インターネットに面したあらゆるサーバーと同様に、CentreStack や Triofox 上でリモートコード実行が行われると、マルウェアの展開、バックドアの永続化、認証情報の窃取につながる可能性がある。Huntress は、すべての CentreStack/Triofox の顧客に対し、最新バージョンである 16.12.10420.56791 へのアップデートを強く推奨しており、すでに 9 社のエンタープライズ顧客が影響を受けたと述べている。
ハードコードされた鍵、さらに重い結果
問題の核心は、CentreStack と Triofox が、どのファイルを誰が取得できるかを制御するためにプラットフォームが使用するアクセストークンを暗号化する暗号鍵を生成する設計における欠陥にある。Huntress は、サーバーがチケット暗号化用の AES キーと初期化ベクトル(IV)を生成するために「GenerateSecKey()」という関数に依存していることを突き止めたが、この関数は一意の値を生成する代わりに、サービスが実行されるたびに同じ静的な 100 バイトの文字列を返していた。
「鍵が一切変わらないため、一度メモリから抽出してしまえば、サーバーが生成した任意のチケットを復号できるだけでなく、さらに悪いことに、自分たちでチケットを暗号化することも可能になります」と研究者らは述べ、鍵は中国語と日本語のテキストからなる静的な文字列だったと付け加えた。
この能力を得た攻撃者は、サーバーが提供可能なあらゆるファイルを要求できるようになり、その中には ASP.NET のマシンキーが含まれる機密ファイル「web.config」も含まれる。
マシンキーを入手した攻撃者は、サーバーが信頼してしまう悪意ある ViewState ペイロードを生成できるようになり、ASP.NET のデシリアライゼーションを通じてリモートコード実行を可能にする。デシリアライゼーション攻撃は、(ASP.NET の ViewState のような)シリアル化されたオブジェクトの安全でないパースを悪用し、Web サービスの権限で実行される悪意あるペイロードを注入する手法である。
今すぐパッチを適用
Huntress は、脅威アクターがまず CentreStack/Triofox における、事前に公開されていた認証不要のローカルファイルインクルージョンのバグである CVE-2025-11371 を悪用しようとし、その後に今回の新たなエクスプロイトを試みるという、複数のアクティブな攻撃を確認した。どちらの手法も、マシンキーを含む web.config ファイルを攻撃者が取得することを可能にしていた。
攻撃を成功させるために、有効な認証情報や特権アクセスなどの前提条件は必要なく、デフォルト鍵の知識さえあればよい。リスクを軽減するために、Huntress はすべての顧客に対し、Gladinet が 12 月 8 日にリリースした最新ビルドへ直ちにアップデートするよう求めている。これらには、安全でない暗号化に対する修正が含まれている。
すぐにパッチを適用できない場合は、マシンキーをランダム化された値に置き換える構成変更を行うことで、アップデートが展開されるまでのリスクを低減できる。加えて、Huntress チームは、侵害の痕跡(IOC)として、web.config を取得するための暗号化された GET リクエストを共有した。
Gladinet は過去にも、同様のハードコード鍵の欠陥に対して完全なパッチ適用に失敗しており、犯罪者がパッチ適用済みシステム上でエクスプロイト条件を復活させる方法を見つけ出していた。
