はじめに

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、Gladinet CentreStackおよびTriofox製品に影響を与える重大なセキュリティ脆弱性に関する新たな警告を発表しました。この脆弱性は「既知の悪用されている脆弱性（KEV）カタログ」に追加されており、攻撃者がこの欠陥を積極的に悪用していることを示しています。

この脆弱性は「CVE-2025-14611」として識別されており、これらの製品がセキュリティキーを処理する方法における深刻な問題を伴います。

脆弱性の詳細

CISAの勧告によると、Gladinet CentreStackとTriofoxの両製品には、ソフトウェア内に「ハードコードされた暗号化キー」が含まれています。ハードコードされたキーは、例えるなら、誰でも見つけられる場所にスペアの家の鍵を置いておくようなものです。これらのソフトウェア製品は、AES暗号化標準を使用してデータを暗号化および保護するための特定のキーを使用していますが、これらのキーがコード自体に恒久的に書き込まれているため、簡単に変更または更新することができません。

悪意のあるアクターがこれらのキーを発見すると、セキュリティ対策をバイパスできてしまいます。この脆弱性は、インターネットからアクセス可能なシステムのパブリックに公開されたエンドポイントのセキュリティを明示的に低下させます。さらに懸念されるのは、攻撃者がこの欠陥を悪用して「ローカルファイルインクルージョン（LFI）」を実行できる点です。これは、サイバー犯罪者がユーザー名やパスワードなしに、サーバーに保存されている機密ファイルをシステムに開示させることが可能になることを意味します。

CISAからの勧告と対応

この脆弱性が現在積極的に悪用されているため、CISAは連邦政府民間執行機関（FCEB）に対し、システムを保護するための厳格な期限を設定しました。各機関は、2026年1月5日までに必要なパッチまたは緩和策を適用することが求められています。この指令は特に米国の連邦機関に適用されますが、CISAは民間企業や州政府を含むすべての組織に対し、この問題の修正を優先するよう強く促しています。

• アップデートの確認：Gladinet CentreStackおよびTriofoxのベンダー指示を直ちに確認してください。
• 緩和策の適用：ハードコードされたキーを削除するか、暗号化の実装を更新する利用可能なパッチをインストールしてください。
• パッチ適用不可能な場合は切断：修正が利用できない場合、CISAはデータ盗難やシステム侵害を防ぐために製品の使用を中止することを推奨しています。

潜在的リスク

現時点では、この特定の脆弱性がランサムウェア攻撃に利用されているかどうかは不明です。しかし、悪用の容易さから、これらのクラウドストレージソリューションを使用している組織にとっては、高い優先度のリスクとなります。

元記事: https://gbhackers.com/cisa-alerts-on-actively-exploited-gladinet-centrestack-and-triofox-flaws/