概要

Gladinet CentreStackおよびTriofoxにおいて、認証不要なローカルファイルインクルージョン（LFI）のゼロデイ脆弱性（CVE-2025-11371）が活発に悪用されていることが判明しました。この脆弱性を悪用することで、攻撃者はログインせずに機密ファイルを読み取ることができ、さらにサーバー上でリモートコード実行（RCE）を可能にします。

脆弱性の詳細

この脆弱性は、攻撃者が認証なしに機密ファイルを読み取れるというものです。具体的には、Web.configファイルなどを取得し、そこからマシンキーを抽出します。このマシンキーを利用して、以前から存在するビュー状態のデシリアライゼーションの脆弱性を再利用し、サーバー上でコードを実行します。

• CVE識別子: CVE-2025-11371
• 脆弱性タイプ: ローカルファイルインクルージョン
• 影響を受ける製品: CentreStack, Triofox
• CVSS 3.1スコア: 9.1

実世界での悪用状況

2025年9月27日、Huntressのセキュリティオペレーションセンターは、CentreStackインスタンスに対する悪用試行を検知しました。影響を受けたシステムは、以前のCVE-2025-30406デシリアライゼーションの脆弱性には対応済みのバージョン（16.4.10315.56368以降）でしたが、新たなLFIの脆弱性により攻撃を受けました。詳細な分析の結果、攻撃者は新しいLFIの穴を利用してWeb.configファイルを取得し、マシンキーを抽出。このキーを用いて、古いビュー状態のデシリアライゼーション手法を再利用し、リモートコード実行を展開していました。

Huntressの観測では、少なくとも3つの顧客で実世界での悪用が確認されています。検知は、Webサーバープロセス下で生成される異常なBase64ペイロードを特定することによって行われました。最初の成功した攻撃は、2025年9月26日20:48:37 UTCに発生したとされています。

緊急の緩和策

公式パッチがリリースされるまで、脆弱な組織は直ちに以下の回避策を適用する必要があります。管理者は、UploadDownloadProxyのWeb.configファイル内のtemp handlerエントリを無効にしてください。これにより、脆弱性のトリガーとなるt.dnエンドポイントへのアクセスが遮断されます。

対象ファイルパス: C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config

この変更は一部のファイルアップロードまたはダウンロード機能に影響を与える可能性がありますが、活発な攻撃を阻止するために不可欠です。ハンドラーを無効にした後、変更を有効にするためにWebサービスを再起動してください。Gladinetはこの脆弱性を認識しており、顧客への通知と回避策の提供に取り組んでいます。

攻撃の概念実証

攻撃者がLFIの脆弱性を介してWeb.configファイルを取得する概念実証の例は以下の通りです。

• GET /UploadDownloadProxy/temp?file=../../Web.config HTTP/1.1
• Host: vulnerable-centrestack.example.com

Web.configを取得した後、攻撃者はビュー状態キーをデコードし、悪意のあるPOSTリクエストを作成します。

• <viewStateBlob> BASE64_ENCODED_DESERIALIZED_PAYLOAD </viewStateBlob>

このペイロードがWebサーバーのコンテキストでリモートコード実行をトリガーします。

管理者への推奨事項

恒久的な修正が利用可能になるまで、管理者はログを監視し、上記のようなPOSTリクエストやviewStateBlobパラメータ内のBase64のようなデータがないか確認することが強く推奨されます。

---

元記事: https://gbhackers.com/gladinet-centrestack-and-triofox-0-day/