脅威アクターがGladinet CentreStackおよびTriofox製品のゼロデイ脆弱性(CVE-2025-11371)を悪用しており、ローカルの攻撃者が認証なしでシステムファイルにアクセスできるようになっています。
これまでに少なくとも3社が標的となっています。パッチはまだ提供されていませんが、顧客は緩和策を適用することができます。
CentreStackおよびTriofoxはGladinetのビジネス向けファイル共有およびリモートアクセスソリューションであり、企業自身のストレージをクラウドとして利用することができます。ベンダーによると、CentreStackは「49か国以上、数千の企業で利用されています。」
修正なし、すべてのバージョンが影響
ゼロデイ脆弱性CVE-2025-11371は、両製品のデフォルトインストールおよび設定に影響するローカルファイルインクルージョン(LFI)の欠陥であり、最新リリースの16.7.10368.56560を含むすべてのバージョンに影響します。
マネージドサイバーセキュリティプラットフォームHuntressの研究者は、9月27日に脅威アクターがこの脆弱性を悪用してマシンキーを取得し、リモートでコードを実行したことを検出しました。
詳細な分析により、この問題はLFIを利用してWeb.configを読み取り、マシンキーを抽出するものであることが判明しました。これにより攻撃者は、以前のデシリアライズ脆弱性(CVE-2025-30406)を利用し、ViewState経由でリモートコード実行(RCE)を達成できました。
CentreStackおよびTriofoxのCVE-2025-30406デシリアライズバグも3月に実際に悪用されており、これはハードコードされたマシンキーが原因でした。キーを知っている攻撃者は、影響を受けるシステムでRCEを実行できました。
「その後の分析で、Huntressは認証されていないローカルファイルインクルージョン脆弱性(CVE-2025-11371)の悪用を発見し、これにより脅威アクターがアプリケーションのWeb.configファイルからマシンキーを取得し、前述のViewStateデシリアライズ脆弱性を通じてリモートコード実行を行うことが可能となりました」 – Huntress
HuntressはGladinetにこの発見を通知しました。ベンダーは脆弱性を認識しており、パッチが提供されるまでの回避策を顧客に通知していると述べています。
研究者は標的となった顧客と緩和策を共有し、CVE-2025-11371から守るために以下の推奨事項を公開しました:
- 「C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config」にあるUploadDownloadProxyコンポーネントのWeb.configファイルでtemp handlerを無効にする
- temp handlerを定義している行を探して削除する — これはt.dnを指しています
出典: Huntress
この行は攻撃者がローカルファイルインクルージョンを通じて悪用する脆弱な機能を有効にしているため、削除することでCVE-2025-11371の悪用を防ぐことができます。
研究者は、この緩和策によって「プラットフォームの一部機能に影響が出る」と警告していますが、脆弱性の悪用は確実に防止できます。
