概要
Gladinetのファイル共有ソリューションであるCentreStackおよびTriofoxにおいて、未認証のローカルファイルインクルージョン(LFI)脆弱性(CVE-2025-11371)が発見され、現在活発な攻撃に悪用されています。この脆弱性により、攻撃者は認証なしで機密ファイルを読み取ることができ、さらにマシンキーを窃取してビュー状態のデシリアライゼーションのバグを悪用し、サーバー上でリモートコード実行(RCE)を可能にします。
現時点では公式パッチはリリースされておらず、管理者には利用可能な回避策を直ちに適用することが強く推奨されています。
脆弱性の詳細
このゼロデイ脆弱性は、攻撃者がログインせずに機密ファイルにアクセスできるローカルファイルインクルージョン(LFI)です。具体的には、攻撃者は以下の手順でシステムを侵害します。
- LFIの欠陥を利用して、
Web.configファイルなどの機密ファイルを読み取ります。 - 読み取ったファイルからマシンキーを抽出します。
- このマシンキーを使用して、以前から知られているビュー状態のデシリアライゼーションの脆弱性を再利用し、サーバー上で任意のコードを実行します。
この脆弱性は、以前のデシリアライゼーションの欠陥(CVE-2025-30406)の影響を受けないバージョンでも悪用されていることが確認されています。
実世界での悪用状況
2025年9月27日、Huntressのセキュリティオペレーションセンターは、CentreStackインスタンスに対する悪用試行が成功したことを検知しました。影響を受けたシステムは、バージョン16.4.10315.56368以降を実行しており、これは以前のデシリアライゼーションの脆弱性からは保護されているはずのものです。
詳細な分析により、新たなLFIの穴が発見され、攻撃者がWeb.configファイルをフェッチしてマシンキーを抽出し、そのキーを使って古いビュー状態のデシリアライゼーション手法を再利用してリモートコード実行を展開していることが明らかになりました。検知は、ウェブサーバープロセス下で生成される異常なbase64ペイロードを特定することによって行われました。最初の成功した攻撃は、2025年9月26日20:48:37 UTCに発生したと特定されています。
緩和策
公式パッチがリリースされるまでの間、脆弱な組織は以下の緊急回避策を適用する必要があります。
C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.configにあるUploadDownloadProxyのWeb.configファイルから、tempハンドラーエントリを無効にします。- 具体的には、ハイライトされた
tempハンドラーの行を削除することで、t.dnエンドポイントへのアクセスが遮断されます。
この変更は、一部のファイルアップロードまたはダウンロード機能に影響を与える可能性がありますが、アクティブな攻撃をブロックするために不可欠です。ハンドラーを無効にした後、変更を有効にするためにウェブサービスを再起動してください。
Gladinetはこの脆弱性を認識しており、この回避策について顧客への通知を進めています。Huntressは標準的な開示ポリシーに基づき連絡を取り、確認を得た上で、影響を受けるクライアントと緩和策のアドバイスを共有しました。正式なパッチは近日中に公開される予定です。
攻撃の概念実証と監視の推奨
攻撃者がLFIの欠陥を介してWeb.configファイルをフェッチする方法を示す概念実証スニペットは以下の通りです。
GET /UploadDownloadProxy/temp?file=../../Web.config HTTP/1.1
Host: vulnerable-centrestack.example.com
User-Agent: Mozilla/5.0
Accept: */*
Connection: close
Web.configを取得した後、攻撃者はビュー状態キーをデコードし、悪意のあるPOSTリクエストを作成します。
<viewStateBlob> BASE64_ENCODED_DESERIALIZED_PAYLOAD </viewStateBlob>
このペイロードがウェブサーバーのコンテキストでリモートコード実行を引き起こします。管理者は、恒久的な修正が利用可能になるまで、このようなPOSTリクエストやviewStateBlobパラメータ内のbase64のようなデータをログで監視することが強く推奨されます。
元記事: https://gbhackers.com/gladinet-centrestack-and-triofox-0-day/