IIS ログの抜粋が最近の攻撃を示している
Gladinet は再び新たな問題に直面している。CentreStack および Triofox 製品において、組み込みのハードコードされた暗号処理に起因する脆弱性が発見されたのだ。Huntress によると、AES 実装が固定キーに依存しており、攻撃者はファイルダウンロード用の「アクセスチケット」を偽造して web.config ファイルへアクセスできてしまう。この結果、ASP.NET の machineKey を窃取するための直接的な経路が開かれ、ViewState のデシリアライゼーションを悪用したさらなる攻撃へとつながり、最終的にはリモートコード実行に至る可能性がある。研究者らは、この脆弱性がすでに実際の環境で悪用されていると強調し、バージョン 16.12.10420.56791 への早急なアップグレードを強く呼びかけている。
問題の核心にあるのは、暗号化された「チケット」を含むパラメータを受け取るリクエストハンドラであり、このチケットには要求されたリソースと関連する権限がエンコードされている。本来、安全な設計であれば、この種のチケットはサーバーごとに固有で秘密のキーに結び付けられるべきである。しかし Huntress が突き止めたところによると、暗号化キーと初期化ベクトルはいずれも実質的に不変であり、製品ライブラリ内に埋め込まれた同一の静的文字列から毎回導出されているという。つまり、いったん攻撃者がこれらの値を入手すれば、正規のチケットを復号したり、自分自身でチケットを生成したりできる可能性があり、サーバー上の機密ファイルへの不正アクセスを許してしまう。
そこから先の攻撃は、よく知られた IIS の悪用チェーンに従う。web.config を取得することで、攻撃者は ViewState の完全性を保護する machineKey を抽出できる。このキーを手に入れれば、ViewState データの偽造が可能となり、最悪の場合には完全なリモートコード実行に至るデシリアライゼーション攻撃への道が開かれる。この手法自体は確立されたものであり、Gladinet のエコシステム内では以前にも表面化している。NVD は CVE-2025-30406 をハードコードされた machineKey に起因するデシリアライゼーション脆弱性として説明しており、これもまた実環境で積極的に悪用されていると記している。
Huntress はさらに、観測されたインシデントにおいて、攻撃者が当初は既知の LFI 脆弱性(CVE-2025-11371)を悪用しようと試み、その後この新たな手法に切り替えて web.config を取得し、ViewState ベースの攻撃へとエスカレーションしていたと報告している。12 月 10 日時点で、複数業種にわたる 9 組織が影響を受けており、攻撃試行は IP アドレス 147.124.216[.]205 などに関連付けられている。
防御側にとって取るべき対応は明確だ。Gladinet はすでにアップデートを公開しており、最優先の推奨事項は、最新ビルド 16.12.10420.56791 へ遅滞なくアップグレードすることである。加えて極めて重要なのは、管理者が machineKey をローテーションするか再生成することだ。そうしなければ、過去に侵害されたキーはパッチ適用後も引き続き悪用可能なままとなる。スレットハンティングの観点からは、Huntress は web.config を狙ったリクエストに現れる特徴的な断片をログから検索するよう助言しているが、一方で、時間依存の変数が存在するため、完全な IoC 文字列は信頼性に欠ける可能性があると注意喚起している。
