概要

Gladinet CentreStackおよびTriofoxにおいて、認証なしのローカルファイルインクルージョン（LFI）の脆弱性（CVE-2025-11371）が悪用され、現在活発な攻撃を受けています。この脆弱性により、攻撃者はログインせずに機密ファイルを読み取ることが可能です。一度マシンキーを入手すると、ビュー状態のデシリアライゼーションのバグを悪用して、サーバー上でコードを実行できます。公式パッチはまだリリースされていないため、管理者は直ちに利用可能な回避策を適用する必要があります。

脆弱性の詳細

• CVE識別子: CVE-2025-11371
• 脆弱性タイプ: ローカルファイルインクルージョン
• 影響を受ける製品: CentreStack, Triofox 9.1
• CVSS 3.1スコア: (記事に記載なし、ゼロデイであることのみ強調)

ゼロデイ攻撃の検出

2025年9月27日、Huntressのセキュリティオペレーションセンターは、CentreStackインスタンスに対する攻撃の成功を検知しました。影響を受けたシステムは、以前のCVE-2025-30406デシリアライゼーション脆弱性の影響を受けないバージョン16.4.10315.56368以降を実行していました。詳細な分析により、新たなローカルファイルインクルージョン（LFI）の脆弱性が明らかになり、攻撃者はWeb.configファイルを取得してマシンキーを抽出していました。このキーを使用して、攻撃者は古いビュー状態のデシリアライゼーション手法を再利用し、リモートコード実行（RCE）を展開しました。

観測された攻撃活動のタイムライン

Huntressの観測者によると、少なくとも3つの顧客で実世界での悪用が確認されました。検出は、Webサーバープロセス下で生成された異常なBase64ペイロードを特定することに依存していました。検出後、アナリストは影響を受けたホストを隔離し、さらなる侵害を阻止しました。これらのイベントのタイムラインは、最初の成功した攻撃が2025年9月26日20:48:37 UTCであったことを示しています。

緩和策

パッチがリリースされるまで、脆弱な組織は直ちに回避策を適用する必要があります。管理者は、UploadDownloadProxyのWeb.configファイル内の「temp handler」エントリを無効にする必要があります。これにより、脆弱性がトリガーされるのを防ぎます。

C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config

ハイライトされた「temp handler」行を削除することで、t.dnエンドポイントへのアクセスが遮断されます。この変更は一部のファイルアップロードまたはダウンロード機能に影響を与える可能性がありますが、活発な攻撃をブロックするためには不可欠です。ハンドラーを無効にした後、変更を有効にするためにWebサービスを再起動してください。Gladinetはこの脆弱性を認識しており、この回避策について顧客への通知を進めています。Huntressは標準の開示ポリシーに基づき連絡を取り、確認を受け、影響を受けたクライアントと緩和策のアドバイスを共有しました。正式なパッチは近日中に公開される予定です。

概念実証（PoC）

以下は、攻撃者がLFIの脆弱性を介してWeb.configファイルを取得する方法を示す概念実証の抜粋です。

GET /UploadDownloadProxy/temp?file=../../Web.config HTTP/1.1
Host: vulnerable-centrestack.example.com
User-Agent: Mozilla/5.0
Accept: */*
Connection: close

Web.configを取得した後、攻撃者はビュー状態キーをデコードし、悪意のあるPOSTリクエストを作成します。

<viewStateBlob> BASE64_ENCODED_DESERIALIZED_PAYLOAD </viewStateBlob>

このペイロードは、Webサーバーのコンテキストでリモートコード実行をトリガーします。管理者は、恒久的な修正が利用可能になるまで、このようなPOSTリクエストやviewStateBlobパラメータ内のBase64のようなデータをログで監視することが強く推奨されます。

---

元記事: https://gbhackers.com/gladinet-centrestack-and-triofox-0-day/