記事本文(要約)
Huntressのセキュリティ研究者は、Gladinet CentreStackとTriofoxのソフトウェアにおいて、デフォルトの暗号設定が原因で発生する重大な脆弱性(CVE-2025-30406)の悪用が確認されたと報告しています。この脆弱性は、構成ファイル内にデフォルトで埋め込まれた暗号鍵から発生しており、リモートコード実行攻撃のリスクを高めています。悪用されると、ASPX ViewState保護を回避し、IISアプリケーションプールユーザーとしてコードを実行でき、最悪の場合システム全体の制御が奪われる可能性があります。
この脆弱性は4月初めにCISAの既知の悪用脆弱性(KEV)カタログに追加され、CVSSの重大度スコアは9/10です。攻撃者はPowerShellコマンドを巧妙に使用して脆弱性を悪用し、リモートコード実行を行っています。
Huntressはこのような攻撃が数百の公開されたサーバーに影響を及ぼす可能性があると警告し、すでにGradientがリモートコード実行リスクに対応するパッチを発行したと発表しました。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 14 Apr 2025 17:27:29 +0000
Original URL: https://www.securityweek.com/huntress-documents-in-the-wild-exploitation-of-critical-gladinet-vulnerabilities/
詳細な技術情報
- CVE番号
- CVE-2025-30406: この脆弱性は、Gladinet CentreStackおよびTriofoxソフトウェアに関するもので、米国のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の「既知の悪用された脆弱性(KEV)」カタログに追加されています。
- 脆弱性の仕組み
- この脆弱性の核心は、CentreStackおよびTriofoxの設定ファイルにハードコードされた暗号鍵の存在です。このミスコンフィギュレーションにより、攻撃者はサーバーにリモートコードを実行する手段を持つことが可能になります。
- 攻撃手法
- 攻撃者は、デフォルトの暗号鍵を利用してASPX ViewStateの保護を回避できます。これにより、攻撃者はIISのアプリケーションプールユーザーとしてコードを実行し、最悪の場合にはシステム全体の制御を得る可能性があります。
- 攻撃の流れとして、脆弱なサーバーを特定した後は注意深く構築されたPowerShellコマンドを実行し、リモートコード実行を誘発します。具体的には、PowerShellでエンコードされたコマンドを使用し、DLLをダウンロードおよび実行する方法で行われます。これは、先ほどのCrushFTPソフトウェアの脆弱性攻撃でも見られたアプローチです。
- 潜在的な影響
- 攻撃者により、システム全体の制御が可能となるため、経済的損失や個人情報の漏洩、さらにはネットワーク全体への広範な損害を引き起こす可能性があります。
- ハントレスによれば、攻撃者はネットワーク内を横移動し、MeshCentralなどのツールを使用してリモートアクセスを維持しようとする兆候が観察されています。また、新しいユーザーアカウントの追加や標準的な列挙コマンドの実行、Impacketスクリプトの使用が試みられています。
- 推奨される対策
- 1. パッチの適用: Gladinetからリリースされたパッチを速やかに適用し、これ以上の悪用を防ぐことが重要です。Huntressは、これらのパッチが実証された脆弱性の利用を防ぐことができるとしています。
- 2. モニタリングとアラート: 不審なプロセスのツリーや異常なアウトバウンド接続を監視するために、セキュリティ運用センター(SOC)によるリアルタイム監視を強化します。
- 3. アクセス制御の強化: 不要な外部からのアクセスを遮断し、重要なサーバーにアクセス可能なユーザーを定期的に見直して無駄を省くことが必要です。
- 4. セキュリティトレーニングの実施: セキュリティ意識向上のためのトレーニングを実施し、内部者の不注意によるリスクを減らします。
- 5. リスク評価とゼロトラストセキュリティの採用: 定期的なリスク評価を実施し、ネットワーク内外で信頼性を検証するゼロトラストセキュリティモデルを採用します。
