記事本文(要約)
ハッカーがGladinet CentreStackのセキュアなファイル共有ソフトウェアの脆弱性を2025年3月からゼロデイ攻撃に利用し、ストレージサーバーに侵入しました。この脆弱性はCVE-2025-30406として追跡され、バージョン16.1.10296.56315までのCentreStackに影響を与えるデシリアライズの脆弱性です。問題は、ハードコードされたmachineKeyを使用していることにあり、攻撃者がこのキーを知っていれば悪意のあるペイロードを作成し、サーバー上で実行できる可能性があります。
Gladinetは2025年4月3日にこの脆弱性に対する修正パッチをリリースし、全ユーザーはすぐに最新バージョンへアップデートすることを推奨しています。対応が直ちにできない場合は、machineKeyの手動更新が推奨されます。
CISAはこの脆弱性を知られている脅威カタログに追加しましたが、ランサムウェアグループによる具体的な攻撃は確認されていません。ただし、データ窃盗の目的で利用される可能性があります。この脆弱性は過去にClopランサムウェアグループが同様のシステムで攻撃を行ってきた点でも注目されています。影響を受ける州および連邦組織には、2025年4月29日までに対応することが求められています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 09 Apr 2025 11:38:30 -0400
Original URL: https://www.bleepingcomputer.com/news/security/centrestack-rce-exploited-as-zero-day-to-breach-file-sharing-servers/
詳細な技術情報
- CVE番号
- CVE-2025-30406
- 脆弱性の仕組み
- この脆弱性は、Gladinet CentreStackの一部であるweb.configファイル内のmachineKeyがハードコードされていることに起因するデシリアライズの脆弱性です。このキーが攻撃者に知られると、悪意のあるシリアライズ済みのペイロードを作成でき、サーバがそのペイロードを信頼し、実行する可能性があります。
- 攻撃手法
- 攻撃者は、センターサックのweb.configファイルに含まれるハードコードされたmachineKeyを利用し、ASP.NET ViewStateの偽造を行います。これにより、整合性チェックを回避し、任意のシリアライズされたオブジェクトを注入し、最終的にサーバ上で任意のコードを実行できます。
- 潜在的な影響
- この脆弱性を悪用すると、 – サーバへのリモートコード実行 – 内部ファイルシェアへの不正アクセス – 機密データの窃取 といった深刻な影響を引き起こす可能性があります。また、過去に同様のシステムがClopランサムウェアによる攻撃の対象になるケースが多いため、データ窃盗攻撃に利用される危険性が高いです。
- 推奨される対策
- セキュリティ更新の適用: Gladinetは2025年4月3日に脆弱性を修正したバージョン16.4.10315.56368、16.3.4763.56357(Windows)、および15.12.434(macOS)をリリースしています。可能な限り早くこれらのバージョンにアップグレードすることが推奨されます。
- machineKeyのローテーション: すぐに更新できない場合、’root\web.config’と’portal\web.config’内のmachineKeyを手動でローテーションすることが暫定的な緩和策として推奨されます。この操作を行う際には、複数のサーバで同一のmachineKeyを使用して整合性を保ち、変更後はIISを再起動する必要があります。
- モニタリングとログ確認: CISAがCVE-2025-30406を既知の悪用された脆弱性カタログに追加していることから、脆弱性が悪用される可能性があります。したがって、システムの監視を強化し、不正アクセスの兆候を早期に発見できるようにする必要があります。
