AppleゼロデイとWinRAR悪用、.NET SOAPwnでRCE急増 - SecureShield セキュリティニュースまとめ

Source:https://thehackernews.com/2025/12/weekly-recap-apple-0-days-winrar.html

🛡 概要

今週は、日常的に使うブラウザ・スマホ・解凍ソフト・フレームワークに関する重大な脆弱性が同時多発しました。Appleは高度な標的型攻撃で悪用中のゼロデイ2件（CVE-2025-14174／CVE-2025-43529）に対応し、GoogleもChromeのANGLEに及ぶ影響を修正しました。WinRARのパストラバーサル（CVE-2025-6218、CVSS 7.8）は複数の脅威グループにより積極的に悪用されています。.NETのHTTPクライアントプロキシ挙動を突く「SOAPwn」は任意ファイル書き込みからウェブシェル/PowerShell投下に至るRCE経路を開き得ます。GladinetのCentreStack/Triofoxには暗号鍵生成設計の不備に起因する問題が公表され、報告では悪用事例が確認されています。さらにReactの最大深刻度RCE（CVE-2025-55182、CVSS 10.0）も悪用が増加しています。至急のパッチ適用と緩和策が必要です。

🔍 技術詳細

Apple関連のCVE-2025-14174（メモリ破損）とCVE-2025-43529（use-after-free）は、細工されたウェブコンテンツを介して任意コード実行に至るとされ、Safari/WebKit経由のドライブバイや、Chromeで利用されるANGLEライブラリ経由の攻撃面が指摘されています。悪用手法の詳細は未公表ですが、商用スパイウェア関与の可能性が示唆されています。WinRAR（CVE-2025-6218）はパストラバーサルにより、解凍時に意図しないパスへファイルを書き込ませ、スタートアップ等に配置された実行ファイルの実行でユーザ権限のコード実行を許します。この種の攻撃はメール添付のアーカイブを起点にユーザ操作（解凍）を引き金とするのが典型です。
.NETの「SOAPwn」は、HTTPクライアントプロキシがhttp/https以外のスキーム（file://やUNCパスなど）を受け入れるケースがあることに起因し、SOAPエンドポイントに任意URLを渡すことでローカル/共有パスにSOAPリクエストを「書き込み」させる可能性があります。条件次第でウェブルートへのファイル投下（ウェブシェル化）やPowerShellスクリプトの配置、NTLMチャレンジの漏えい・リレーが生じ得ます。WSDLインポート経由で攻撃者制御のプロキシコードが生成される経路も懸念されます。
Gladinet CentreStack/Triofoxでは、アクセストークン暗号鍵の生成設計不備により鍵が実質固定化され、これを手掛かりにweb.config等の機密ファイルへアクセス、最終的にコード実行に至るリスクが指摘されています（報告ベース）。ReactのCVE-2025-55182（CVSS 10.0）は最大深刻度のRCEで、公開後に悪用観測が増加。具体的なトリガーはベンダ情報の確認が必要ですが、フロント/SSR双方の入力処理とサンドボックス境界の見直しが急務です。

⚠ 影響

エンドポイントの初期侵入、ブラウザ起点のコード実行、NTLM中継による認証情報悪用、ウェブシェル常駐化、クラウド/SMB経由の横展開が現実的な脅威です。CVE-2025-6218は米CISAのKEVに追加され、連邦機関は2025-12-30までの対処が求められています。開発組織は.NET/Reactの安全なURLスキーム検証・テンプレートエンジン硬化の不足がサプライチェーン経由の被害拡大要因となり得ます。

🛠 対策

Apple/Google: iOS/iPadOS/macOS/tvOS/watchOS/visionOS/Safari、Chromeを最新へ。MAM/MDMで強制配布。
WinRAR: ベンダが案内する最新安定版へ更新（CVE-2025-6218、CVSS 7.8）。不明なアーカイブの自動解凍を禁止。
.NET/「SOAPwn」: HTTPクライアントの許可スキームをhttp/httpsに限定、WSDLインポートを信頼ドメインのみに制限。アプリプールの権限最小化、ウェブルートへの書き込み禁止、SMB外向きブロック、NTLM無効化/制約付き委任。
CentreStack/Triofox: ベンダ勧告に従いパッチ/キー再生成/トークン失効。web.config等のアクセス監査と資格情報ローテーション。
React: 該当バージョンを修正済みへ。SSR/テンプレートのエスケープ徹底、CSP導入、サプライチェーン監査。
共通: アプリケーション制御、EDR隔離手順の演習、バックアップの妥当性検証。

📌 SOC視点

ブラウザ起点: Safari/Chromeの子プロセスとしてbash/zsh/osascript/curlが突然生成（macOS）。プロセスツリーとファイルドロップを相関。
WinRAR: winrar.exe（もしくはunrar系）からユーザStartup/ProgramDataへFileCreate（Windows Sysmon EID 11）。解凍直後の新規EXE/lnk実行（EID 1/4688）。
.NET: IISログのSOAPエンドポイントにfile://や\\host\share等の痕跡。w3wp.exeによるウェブルート書込、直後のスクリプト実行。外向き445/139やNTLM認証試行の異常（Win EID 4624/4625）。
CentreStack/Triofox: /web.configへのアクセス、アプリプロセスからの新規子プロセス生成、急なトークン使用増加を検知。
React/SSR: node/SSRプロセスからのchild_process生成、テンプレートに未知のコード片挿入の差分検知。

📈 MITRE ATT&CK

T1189 Drive-by Compromise: 細工Webコンテンツによりブラウザ経由での侵入（Apple/Chrome）。
T1203 Exploitation for Client Execution: WebKit/ANGLE/React/WinRARの脆弱性悪用でコード実行。
T1204.002 User Execution: Malicious File: アーカイブ解凍をトリガーにしたWinRAR悪用。
T1187 Forced Authentication: NTLMチャレンジ漏えい/リレー（SOAPwn）。
T1505.003 Web Shell: 任意ファイル書き込みからウェブシェル設置（SOAPwn/CentreStack）。
T1190 Exploit Public-Facing Application: 公開アプリ（CentreStack/Triofox）設計不備の悪用。
T1552 Unsecured Credentials: web.config等からの資格情報取得。
T1059.001 PowerShell: 攻撃後のPowerShellスクリプト投下・実行。

🏢 組織規模別助言

小規模: 重要端末を優先に自動更新を有効化。WinRAR代替検討、EDRの隔離プレイブックを簡素化。
中規模: WSUS/MDMで段階配信。IIS/.NETのURLスキーム検証追加、NTLM削減計画、SMB外向き遮断を実施。
大規模: 攻撃面別（ブラウザ/メール/ファイル共有/公開Web）にパッチSLAを設定。攻撃シナリオに基づく紫チーム演習と継続的脆弱性管理を回す。

🔎 類似事例

アーカイブ悪用は過去のWinRAR脆弱性（例: CVE-2023-38831）でも広範に悪用されました。ブラウザのゼロデイ連鎖も近年のWebKit案件で反復しています。今回報告されたCVE群（例: CVE-2025-14174, CVE-2025-43529, CVE-2025-6218, CVE-2025-55182 ほか）は、ベンダ通達に基づく即時更新とIOC確認が有効です。