概要
ファイル共有およびリモートアクセスソリューションを提供するGladinetのCentreStackおよびTriofox製品において、ゼロデイ脆弱性(CVE-2025-11371)が攻撃者によって悪用されていることが判明しました。この脆弱性は、認証されていないローカル攻撃者がシステムファイルにアクセスすることを可能にするローカルファイルインクルージョン(LFI)の欠陥です。これまでに少なくとも3社が標的とされており、早急な対策が求められています。
Gladinetの製品は、企業が自社のストレージをクラウドとして利用できるようにするもので、CentreStackは49カ国以上の数千の企業で利用されています。
脆弱性の詳細と攻撃手法
このゼロデイ脆弱性CVE-2025-11371は、製品のデフォルトインストールおよび設定に影響を与え、最新リリースである16.7.10368.56560を含むすべてのバージョンが影響を受けます。現時点では、公式パッチは提供されていません。
マネージドサイバーセキュリティプラットフォームのHuntressの研究者たちは、9月27日に脅威アクターがこの脆弱性を悪用し、マシンキーを取得してリモートでコードを実行したことを検知しました。詳細な分析の結果、攻撃者はLFIを悪用してWeb.configファイルを読み取り、そこからマシンキーを抽出していたことが明らかになりました。このマシンキーを利用することで、攻撃者は以前から知られているデシリアライゼーション脆弱性(CVE-2025-30406)をViewStateを通じて悪用し、リモートコード実行(RCE)を達成していました。
CVE-2025-30406は、CentreStackおよびTriofoxにおけるハードコードされたマシンキーに起因するデシリアライゼーションのバグであり、今年3月にも実環境で悪用されていました。攻撃者がこのキーを知っていれば、影響を受けるシステムでRCEを実行できる状態でした。
対策とベンダーの対応
HuntressはGladinetにこの発見を報告し、Gladinetは脆弱性を認識しており、パッチが利用可能になるまでの回避策を顧客に通知するプロセスを進めていると回答しました。
研究者たちは、CVE-2025-11371から保護するための以下の緩和策を推奨しています。
- UploadDownloadProxyコンポーネントのWeb.configファイルからtempハンドラーを無効にする。
- 具体的には、「C:\Program Files (x86)\Gladinet Cloud Enterprise\UploadDownloadProxy\Web.config」にあるWeb.configファイルを開きます。
- tempハンドラーを定義している行(「t.dn」を指す行)を見つけて削除します。
この行を削除することで、攻撃者がローカルファイルインクルージョンを介して悪用する脆弱な機能が無効になります。Huntressは、この緩和策が「プラットフォームの一部の機能に影響を与える」可能性があると警告していますが、脆弱性の悪用を防ぐためには不可欠であると強調しています。