🛡 概要
GladinetのCentreStackおよびTriofoxにおいて、暗号アルゴリズム実装の欠陥を脅威者が悪用し、リモートコード実行(RCE)に至る攻撃が観測されています。問題はベンダ未公表の暗号実装不備(ハードコード鍵)で、ローカルファイルインクルージョン(LFI)の既知脆弱性CVE-2025-30406と併用されました。少なくとも9組織(医療・テクノロジー等)への攻撃が報告され、ベンダはIoCを提示し、最新版への更新とmachineKeyのローテーションを勧告しています。最新版は2024/12/08リリースの16.12.10420.56791です(初回告知時点では11/29版)。
🔍 技術詳細
問題の核心は、CentreStack/Triofoxで用いられる独自AES実装において、暗号鍵とIVがGladCtrl64.dll内にハードコードされ、全インストールで共通だった点です。鍵素材は中国語・日本語の各100バイト固定文字列から導出され、filesvr.dnハンドラが受け取るt(Access Ticket)パラメータの復号に使われます。攻撃者はこの鍵を抽出することでチケットを復号(ファイルパス、ユーザー名、パスワード、タイムスタンプ等を取得)または自作し、任意ユーザへのなりすましや任意ファイル取得を実現できます。実際に、時刻を「9999年」に設定した偽造チケットで失効を回避する手口が観測されています。また、IoCとして暗号化ファイルパスに関連する文字列vghpI7EToZUDIZDdprSubL3mTZ2が提示されています。
攻撃チェーンは概ね次の通りです。1) ハードコード鍵でAccess Ticketを偽造し、ファイル取得機能を悪用してweb.configを要求。2) 構成内のmachineKeyを入手。3) 取得した鍵でASP.NET ViewStateを署名したデシリアライズ攻撃を行い、RCEを達成。さらに、これらに加え、未認証でシステムファイルへアクセス可能なLFI(CVE-2025-30406)も同時に用いられた事例が確認されています。観測済みの攻撃元IPとして147.124.216[.]205が報告されています。
注意:CVE-2025-30406(LFI)のCVSSは現時点で公表情報が確認できません。暗号実装不備については公式CVEは未割り当てです。
⚠ 影響
・ユーザなりすましによる機密ファイルの大量取得・漏えい
・web.configからの機密情報(machineKey 等)窃取を踏み台にしたRCE
・Windows/IISホストの全面侵害、横展開、ランサム化や情報窃取の二次被害
🛠 対策
- 即時アップデート:CentreStack/Triofoxを16.12.10420.56791(2024/12/08)へ更新。初回告知版(11/29)利用中は直ちに置換。
- 鍵ローテーション:
machineKeyを再生成・反映。旧鍵で署名されたトークンやセッションを無効化。 - アクセス制御:パッチ適用まで
filesvr.dnへの外部公開を制限(VPN必須化、WAFでt=過大長や既知IoCの遮断)。 - 監査・復旧:
web.config取得痕跡や不審な__VIEWSTATE巨大POSTを精査。侵害兆候があればホスト隔離、証跡保全、認証情報リセット、影響範囲の特定と復旧計画を実施。 - ASP.NET堅牢化:
enableViewStateMac=true、ViewStateUserKeyの適用、不要なページでのViewState無効化、.config 直参照の防止。
📌 SOC視点
- IISログ(cs-uri-stem/Query):
/filesvr.dnへのアクセス、t=を含む長大クエリ、文字列vghpI7EToZUDIZDdprSubL3mTZ2。 - IISログ:
web.config取得要求、巨大な__VIEWSTATEを含むPOST(User-Agent不審、短時間多リクエスト)。 - プロセス監視:
w3wp.exe(IIS)がcmd.exe/powershell.exe等を子プロセス起動(Windows 4688、Sysmon EID 1)。ネットワーク接続(Sysmon EID 3)で147.124.216.205等への外向き通信。 - ファイル監視:
web.configの読み取りスパイク、異常な一時ファイル/ASP.NETテンポラリの生成。 - EDRルール例:IISワーカーからのスクリプト実行、LOLbins(
rundll32、msbuild)の不審使用、ViewStateペイロード指紋。
📈 MITRE ATT&CK
- TA0001 初期アクセス: T1190 Exploit Public-Facing Application(
filesvr.dnのAccess Ticket偽造、CVE-2025-30406のLFI悪用)。 - TA0006 資格情報アクセス: T1552.001 Unsecured Credentials: Credentials In Files(
web.configからmachineKeyを取得)。 - TA0002 実行: T1203 Exploitation for Client Execution/アプリ層のインジェクションを介したViewStateデシリアライズRCE(取得した
machineKeyで署名済みペイロードを投入)。 - TA0009 収集: T1005 Data from Local System(任意ファイル取得)。
根拠:観測された攻撃フロー(Access Ticket偽造→web.config取得→ViewStateデシリアライズRCE)およびベンダ/研究者のIoC公開に基づく。
🏢 組織規模別助言
- 小規模(〜50名):即時アップデートと鍵ローテ。外部公開を一時的に停止し、マネージドSOCやベンダ支援を活用。バックアップのオフライン保全。
- 中規模(50〜500名):変更凍結期間を最小化してパッチ適用。IIS/WAFで
filesvr.dnの一時ブロック、EDRでw3wp.exe子プロセス検知を強化。影響端末の網羅スキャン。 - 大規模(500名〜):緊急CABで全環境一括是正。機密区画でのトラフィック鏡像・DPIでViewState異常を相関分析。鍵・証明書の広域ローテとゼロトラスト方針の暫定強化。
🔎 類似事例
- CVE-2025-30406(Gladinet LFI、未認証でシステムファイル参照)- CVSS未公表
- CVE-2019-18935(Telerik UI for ASP.NET AJAX RCE:暗号鍵の不備を突いた署名済みオブジェクトのデシリアライズ悪用)
- 一般的なASP.NET ViewStateデシリアライズ悪用(machineKey入手後の署名付きペイロード投下)
🧭 次の一手
1) 直ちに16.12.10420.56791へ更新し、machineKeyをローテーション。2) 過去ログ(少なくとも11/29以降)でfilesvr.dnアクセス、vghpI7EToZUDIZDdprSubL3mTZ2、巨大__VIEWSTATE、w3wp.exeの不審子プロセスを遡及調査。3) 侵害兆候があればインシデント対応手順(隔離・根絶・復旧・通知)を実施。4) ベンダ告知とHuntressレポートの最新IoC/緩和策で検知・防御ルールを更新。
