概要
Gladinetは、同社のビジネスソリューションCentreStackにおいて、活発に悪用されていたゼロデイ脆弱性(CVE-2025-11371)に対処するためのセキュリティアップデートをリリースしました。この脆弱性は、9月下旬から脅威アクターによって悪用されていました。
脆弱性の詳細と悪用経路
サイバーセキュリティプラットフォームHuntressの研究者たちは先週、この悪用活動を公表しました。彼らによると、この脆弱性は、以前に特定されたリモートコード実行(RCE)脆弱性CVE-2025-30406に対するGladinetの緩和策をバイパスするものでした。
ローカルファイルインクルージョン(LFI)の脆弱性であるCVE-2025-11371は、攻撃者が完全にパッチが適用されたCentreStack環境のWeb.configファイルを読み取り、マシンキーを抽出することを可能にします。このマシンキーを使用することで、攻撃者は悪意のあるViewStateペイロードを偽造し、CVE-2025-30406を悪用してリモートコード実行を達成できます。
LFI問題の根本原因は、/storage/t.dn(一時ダウンロードハンドラ)におけるサニタイズの失敗にあります。このハンドラはs=パラメータを受け入れ、ディレクトリトラバーサルを引き起こします。サービスがNT AUTHORITY\SYSTEMとして実行され、一時フォルダを基準にファイルを解決するため、この脆弱性により、攻撃者はSYSTEMアカウントがアクセスできる任意のファイル(Web.configを含む)を読み取ることが可能になります。
観測された攻撃と概念実証(PoC)
Huntressは、攻撃者が/storage/t.dn?s=…へのHTTPリクエストでWeb.configを取得し、その後、base64エンコードされたPOSTペイロードでターゲット上のコマンド実行をトリガーする様子を観測しました。
Huntressは、CVE-2025-11371の最小限の概念実証(PoC)を公開しており、認証されていないリクエストでWeb.configを取得できるPowerShellのInvoke-WebRequestの例が含まれています。ただし、以前のRCE脆弱性(CVE-2025-30406)を含む完全なエクスプロイトチェーンは公開されていません。
対策と推奨事項
CVE-2025-11371に対処するセキュリティアップデートは、CentreStackバージョン16.10.10408.56683で利用可能です。管理者は直ちにこのアップデートをインストールすることが強く推奨されます。
新しいバージョンをインストールできない場合の緩和策として、UploadDownloadProxyコンポーネントのWeb.configファイルから、tempハンドラを定義する行を削除することで無効にすることができます。