概要:7-Zipにリモートコード実行の脆弱性
人気のアーカイブツール7-Zipにおいて、ZIPアーカイブの処理に関する2つの重大な脆弱性が発見されました。これらの脆弱性(CVE-2025-11002およびCVE-2025-11001)は、攻撃者がディレクトリトラバーサルの欠陥を悪用し、リモートで任意のコードを実行することを可能にします。問題は、ZIPファイル内のシンボリックリンクの不適切な処理に起因しており、細工されたアーカイブによって意図しない場所にファイルが配置され、結果としてコード実行につながる可能性があります。
脆弱性の詳細
セキュリティ研究者によって開示されたこれらの脆弱性は、それぞれCVE-2025-11002 (ZDI-25-950, ZDI-CAN-26743) とCVE-2025-11001 (ZDI-25-949, ZDI-CAN-26753) として追跡されています。どちらのケースも、攻撃者は悪意のあるZIPファイルを提供し、その中に含まれるシンボリックリンクエントリがインストーラの意図したディレクトリ境界を迂回するように仕向けます。
脆弱性の概要は以下の通りです。
- CVE ID: CVE-2025-11002
- CVSS Score: 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
- Affected Vendors: 7-Zip
- Affected Products: 7-Zip
- CVE ID: CVE-2025-11001
- CVSS Score: 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
- Affected Vendors: 7-Zip
- Affected Products: 7-Zip
7-Zipがこのようなアーカイブを処理する際、意図せず抽出パス外のディレクトリにあるリンクをたどってしまいます。この欠陥は、任意のファイルを上書きしたり、機密性の高い場所に悪意のあるペイロードを配置したりするために悪用される可能性があり、その後、連携するサービスやスケジュールされたタスクによって実行される可能性があります。ユーザー権限は不要で、侵害された環境でアーカイブを開いたり抽出したりするなどの最小限の操作で悪用が可能です。
概念実証と悪用シナリオ
概念実証では、例えば「../../../../windows/system32/malicious.dll」という名前のシンボリックリンクエントリを含むZIPアーカイブを作成し、攻撃者が制御するファイルを指すようにします。SYSTEMアカウントで実行されているサービスによって抽出されると、このDLLはSystem32ディレクトリに配置されます。その後、プラグインやスケジュールされたタスクなどを介してそのライブラリをロードする要求が発生すると、昇格された権限で任意のコードが実行されます。
セキュリティチームは、特にエンタープライズのファイル共有ソリューションや自動バックアップソリューションにおいて、ZIPファイルを自動的に処理するシステムを監査する必要があります。パッチが展開される前に悪用を防ぐためには、厳格なディレクトリサニタイズを実装するか、信頼できないコンテキストでの自動抽出を無効にすることが推奨されます。
対策と推奨事項
7-Zipバージョン25.00は、安全なパスの正規化を強制し、意図した抽出ディレクトリから逸脱するシンボリックリンクをブロックすることで、両方の脆弱性に対処しています。管理者は直ちにアップグレードすることが強く推奨されます。
脆弱性は2025年5月2日にベンダーに報告され、2025年10月7日に調整された公開勧告がリリースおよび更新されました。
侵害の痕跡 (IoCs) には、アーカイブ抽出後に保護されたディレクトリ内で予期せぬDLLや実行可能ファイルが存在すること、および過剰なパストラバーサルシーケンスを含む疑わしいZIPエントリが含まれます。自動ZIP抽出に依存している組織は、異常なディレクトリトラバーサルパターンがないかログをレビューし、潜在的な侵害を防ぐために7-Zip 25.00へのパッチ適用を迅速に展開する必要があります。ファイル処理サービスの継続的な監視と、厳格な入力検証の実施は、同様のZIPベースの攻撃に対する不可欠な防御策であり続けます。