概要
セキュアなリモートファイルアクセスと共有に用いられるGladinet CentreStackおよびTriofox製品において、暗号化アルゴリズムの実装に未公開の脆弱性が発見され、ハッカーによって積極的に悪用されていることが判明しました。
この脆弱性を悪用することで、攻撃者はハードコードされた暗号化キーを取得し、リモートコード実行(RCE)を達成できると、セキュリティ研究者が警告しています。
Gladinetは、この新しい暗号化脆弱性には公式な識別子がないものの、顧客にこの問題について通知し、11月29日にリリースされた最新バージョンへの更新を推奨しています。また、同社は、この問題が実世界で悪用されていることを示すIoC(Indicators of Compromise)も顧客に提供しました。
脆弱性の詳細と攻撃手法
マネージドサイバーセキュリティプラットフォームであるHuntressの研究者によると、少なくとも9つの組織が、今回の新しい脆弱性とともに、認証なしでシステムファイルへのアクセスを可能にする古いローカルファイルインクルージョンの欠陥「CVE-2025-30406」も悪用した攻撃の標的となっています。
Huntressの調査では、この問題はGladinet CentreStackおよびTriofoxにおけるAES暗号化アルゴリズムのカスタム実装に起因していることが明らかになりました。具体的には、暗号化キーと初期化ベクトル(IV)が「GladCtrl64.dll」ファイル内にハードコードされており、容易に取得できる状態でした。
これらのキー値は、すべての製品インストールで共通の、静的な100バイトの中国語および日本語のテキスト文字列から導出されていました。脆弱性は、「filesvr.dn」ハンドラが「t」パラメータ(アクセスチケット)を静的なキーで復号する処理に存在します。これらのキーを抽出することで、攻撃者はファイルパス、ユーザー名、パスワード、タイムスタンプを含むアクセスチケットを復号したり、独自のチケットを作成してユーザーを偽装し、サーバーに任意のファイルを返送させることが可能になります。
Huntressは、攻撃者がハードコードされたAESキーを使用してアクセスチケットを偽造し、タイムスタンプを9999年に設定することで、チケットの有効期限を事実上無期限にしていたことを観測しています。
さらに攻撃者は、サーバーの「web.config」ファイルを要求し、これに含まれる「machineKey」を利用して、ViewState逆シリアル化の欠陥を介したリモートコード実行を誘発しました。
攻撃の状況と推奨される対策
攻撃元のIPアドレスは147.124.216[.]205ですが、これらの攻撃に関する具体的な帰属情報は公表されていません。
Huntressは、12月10日時点で、医療やテクノロジーを含む様々な分野の9つの組織が標的になったことを確認しています。
Gladinet CentreStackおよびTriofoxのユーザーには、バージョン16.12.10420.56791(12月8日リリース)へできるだけ早くアップグレードし、マシンキーをローテーションすることが強く推奨されています。
また、暗号化されたファイルパスに関連付けられている「vghpI7EToZUDIZDdprSubL3mTZ2」という文字列をログからスキャンすることが、唯一の信頼できる侵害指標(IoC)であるとされています。Huntressは、防御側が環境を保護し、侵害を特定するために利用できる緩和策とIoCをレポートで提供しています。