🛡 概要
Gladinetは、CentreStackビジネスソリューションにおいて、ローカルファイルインクルージョン脆弱性(CVE-2025-11371)の修正を行いました。この脆弱性は、2023年9月末から悪用されていたゼロデイ脆弱性です。サイバーセキュリティプラットフォームHuntressによると、この脆弱性はGladinetが実施したデシリアライズ脆弱性に対する緩和策をバイパスするもので、リモートコード実行(RCE)につながるCVE-2025-30406に関連しています。
🔍 技術詳細
このローカルファイルインクルージョン(LFI)脆弱性により、攻撃者は完全にパッチが適用されたCentreStackのデプロイメントからWeb.configファイルを読み取ることができ、マシンキーを抽出してCVE-2025-30406を悪用することが可能になります。Huntressがゼロデイ攻撃を警告した際、Gladinetは顧客への緩和策を提供し、パッチの開発を進めていました。CVE-2025-11371に対処するセキュリティアップデートは、CentreStackバージョン16.10.10408.56683で利用可能であり、管理者はこのバージョンへのアップグレードを強く推奨されています。
⚠ 影響
CVE-2025-11371は、特にファイル共有機能を使用している企業にとって重大なリスクをもたらします。攻撃者は、NT AUTHORITY\SYSTEMとしてサービスが実行されている環境で、任意のファイルを読み取ることができるため、Web.configに含まれるASP.NETマシンキーを取得し、悪意のあるViewStateペイロードを生成することが可能です。このペイロードは、CVE-2025-30406によってデシリアライズされ、リモートコード実行を引き起こします。Huntressは、’/storage/t.dn?s=…’へのHTTPリクエストがWeb.configを返すことや、コマンド実行をトリガーするbase64エンコードされたPOSTペイロードを観測しています。
🛠 対策
潜在的に影響を受けるユーザーは、CentreStackバージョン16.10.10408.56683へのアップグレードを推奨されます。新しいバージョンのインストールが不可能な場合は、UploadDownloadProxyコンポーネントのWeb.configファイル内でtempハンドラを無効にすることが緩和策として有効です。このファイル内で定義されている行を削除することで、脆弱性の悪用を防ぐことができます。
