はじめに
ファイル共有ソフトウェア「CentreStack」を提供するGladinetは、活発に悪用されていたゼロデイ脆弱性(CVE-2025-11371)に対するセキュリティアップデートをリリースしました。この脆弱性は、9月下旬から攻撃者によって悪用されており、緊急の対応が求められています。
CentreStackのゼロデイ脆弱性
サイバーセキュリティプラットフォームのHuntressの研究者たちは先週、この脆弱性の悪用活動を公表しました。CVE-2025-11371は、以前にリモートコード実行(RCE)につながるデシリアライゼーション脆弱性(CVE-2025-30406)に対してGladinetが実装した緩和策をバイパスするものとして機能していました。
脆弱性の詳細と攻撃経路
このローカルファイルインクルージョン(LFI)脆弱性により、攻撃者は完全にパッチが適用されたCentreStack環境でWeb.configファイルを読み取り、マシンキーを抽出することが可能でした。抽出されたマシンキーは、CVE-2025-30406を悪用してリモートコード実行を引き起こすために使用されました。
技術的な解説
LFI問題の根本原因は、/storage/t.dnでアクセス可能なtemp-downloadハンドラーにおけるサニタイズの失敗にあります。このハンドラーは「s=」パラメータを受け入れ、ディレクトリトラバーサルを許容していました。サービスはNT AUTHORITY\SYSTEMとして実行され、一時フォルダを基準にファイルを解決するため、攻撃者はSYSTEMアカウントがアクセスできる任意のファイル(Web.configを含む)を読み取ることができました。
観測された攻撃
Huntressは、攻撃者が'/storage/t.dn?s=...'へのHTTPリクエストでWeb.configを取得し、その後にBase64エンコードされたPOSTペイロードでターゲット上でのコマンド実行をトリガーする様子を観測しました。Huntressは、Web.configを取得するためのPowerShell Invoke-WebRequestの最小限の概念実証(PoC)を公開しましたが、以前のデシリアライゼーションRCE(CVE-2025-30406)を含む完全なエクスプロイトチェーンは公開していません。
対策と推奨事項
Gladinetは、CVE-2025-11371に対処するセキュリティアップデートをCentreStackバージョン16.10.10408.56683で提供しています。管理者は、このアップデートを直ちにインストールすることが強く推奨されます。
新しいバージョンをインストールできない場合の緩和策として、UploadDownloadProxyコンポーネントのWeb.configファイルから、その定義行を削除することで一時ハンドラーを無効にすることができます。
まとめ
今回のゼロデイ脆弱性は、ファイル共有システムにおけるセキュリティの重要性を改めて浮き彫りにしました。ユーザーは、システムを最新の状態に保ち、提供された緩和策を適用することで、潜在的な脅威から保護する必要があります。