サイバーニュース.jp

世界のサイバーなニュースを配信

Gladinet Triofoxのゼロデイ脆弱性が悪用され、悪意のあるコードが実行される

カテゴリ:

はじめに

ファイル共有およびリモートアクセス基盤を提供するGladinet Triofoxにおいて、深刻なリモートコード実行(RCE)のゼロデイ脆弱性(CVE-2025-12480)が発見され、UNC6485によって追跡されている脅威アクターによって活発に悪用されていることが明らかになりました。

当初の分析ではその単純さが過小評価されていたものの、セキュリティ研究者による検証では、この脆弱性を悪用して完全なシステム侵害を達成するには、攻撃者が複数のインフラストストラクチャ上の課題と技術的ハードルを克服する必要があることが示されています。

脆弱性の詳細

この脆弱性は、Triofoxの管理インターフェースにおけるホストヘッダー検証の不備に起因します。開発者は、リクエストが実際にlocalhostから送信されたかどうかを検証せず、単にHostヘッダーに「localhost」が含まれているかのみを確認していました。この認証バイパスにより、攻撃者はデータベースのリセットや管理者アカウントの作成インターフェースなど、ローカルシステム設定専用に設計されたページにアクセスできるようになります。

複雑な攻撃チェーン

VulnCheckのInitial Access Intelligenceチームは、このゼロデイエクスプロイトパスを再現し、実際の脅威アクターの攻撃手法を反映した機能的なエクスプロイトを作成しました。この研究により、事後分析では単純に見えるものが、実際の攻撃中に攻撃者が乗り越えなければならない重要な複雑性を隠蔽していることが明らかになりました。初期アクセスからリモートコード実行に至るまで、完全な悪用チェーンには26以上のHTTPリクエストが必要です。

攻撃手法の具体例

  • データベース設定の悪用: 攻撃はlocalhostヘッダーバイパスからAdminDatabase.aspxページへのアクセスから始まります。しかし、標的システムがTriofoxのデフォルトの埋め込みデータベースを使用している場合、単にデータベース設定をリセットしても管理者資格情報をリセットできないという重大な制約が判明しました。コード実行を達成するためには、攻撃者は新たに作成した管理者アカウントを使用してログインする必要がありました。
  • 外部データベースの要件: この脆弱性では、外部データベース構成を持つシステムを標的とするか、攻撃者が制御するデータベースインフラストラクチャを展開する必要があります。VulnCheckは、Goのembedded-postgresパッケージを使用してPostgreSQLサーバー構成全体を埋め込むことで、外部インフラストラクチャを必要とせずに攻撃を効率化しました。
  • 管理コンソールへのアクセス: データベースアクセスを確立した後、攻撃者は新しい管理者資格情報を作成し、複数のASP.NETステート遷移を介して管理コンソールに到達します。
  • ファイルアップロードの回避策: 次の重要なフェーズは、ファイルアップロード機能を確立することです。Triofoxのデフォルトの共有作成メカニズムは、高い権限または構成された資格情報を必要とするため、障害となります。VulnCheckの分析では、文書化されていない「Personal Home Drives」機能を悪用することで、認証なしでシステムディレクトリへの書き込みアクセスを設定し、これらの制限を完全にバイパスできることが判明しました。
  • 悪意のあるコードの実行: ファイルアップロード機能が確立されると、エクスプロイトはVisual Basicのリバースシェルペイロードと、実行をトリガーするバッチファイルをアップロードします。最終段階では、Triofoxのアンチウイルス設定インターフェース(ESET)が悪用され、マルウェアスキャン時に攻撃者の悪意のあるファイルが実行されるようにコマンドラインパラメータが変更されます。

ASP.NET状態管理の課題

26の連続するリクエストにわたるASP.NETアプリケーション状態の管理は、特に困難であることが判明しました。各リクエストは、アプリケーションの動作を制御するビュー状態変数を解析し、維持する必要があります。VulnCheckは、go-exploitフレームワーク内に自動化されたASP.NETステートヘルパーを開発することでこの問題に対処し、手動での状態追跡オーバーヘッドを削減し、信頼性の高いエクスプロイト実行を可能にしました。

重要な教訓と対策

最終的なエクスプロイトは、Windowsシステムで最高の特権レベルであるSYSTEMとして、認証なしのリモートコード実行を成功させました。この脆弱性は、公にされるセキュリティ分析がしばしば攻撃の複雑さを過度に単純化してしまう理由を示しています。Mandiantの初期開示は貴重な検出ガイダンスを提供しましたが、実際の悪用経路には、開示された以上の技術的課題と意思決定ポイントが含まれます。

セキュリティチームは、一見単純な脆弱性でも、効果的に悪用されるには攻撃者にかなりの高度な技術が要求される可能性があることを認識し、悪用が広範囲に及ぶ前に包括的な脆弱性評価とタイムリーなパッチ適用の重要性を強調すべきです。Gladinet Triofoxを運用している組織は、CVE-2025-12480を修正し、ファイル共有およびリモートアクセスインフラストラクチャの潜在的な侵害を防ぐために、直ちにパッチを適用することを最優先事項とする必要があります。

元記事: https://gbhackers.com/gladinet-triofox-0-day/

投稿をさらに読み込む