記事本文(要約)
管理サービスプロバイダー(MSP)が広く利用するファイル共有プラットフォーム、GladinetのCentreStackに、CVE-2025-30406というクリティカルなゼロデイ脆弱性があり、3月から悪用されています。この脆弱性は、IISのweb.configファイル内の「ハードコーディングされた」または不適切に保護されたmachineKeyに起因するASP.NET ViewStateの逆シリアル化の欠陥です。この鍵が取得されると、攻撃者は安全性チェックを通過する悪意のあるペイロードを作成し、リモートコード実行(RCE)を可能にします。CISAは4月9日にこの脆弱性を既知の悪用脆弱性カタログに追加し、連邦政府の機関は4月29日までにパッチを適用する必要があります。Gladinetは、バージョン16.4.10315.56368へのアップグレードや、machineKey値のローテーションを推奨しています。CentreStackはMSPによって広く利用されており、多くの顧客がリスクにさらされる可能性があります。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 10 Apr 2025 21:15:36 GMT
Original URL: https://www.darkreading.com/vulnerabilities-threats/zero-day-centrestack-platform-under-attack
詳細な技術情報
- CVE番号
- CVE-2025-30406:この脆弱性はGladinetのCentreStackに関するもので、National Vulnerability Database(NVD)やCVE.orgによってトラッキングされています。
- 脆弱性の仕組み
- 逆シリアル化の脆弱性(Deserialization Flaw)**: この脆弱性は、GladinetのCentreStackが使用するIISの`web.config`ファイルにおける`machineKey`のハードコードもしくは不適切な保護に起因します。`machineKey`はASP.NETのViewStateデータを保護するために使用され、これが適切に保護されない場合、脆弱性の原因となります。
- 攻撃手法
- 攻撃者がこの`machineKey`を取得または推測できる状況になると、悪意あるViewStateペイロードを作成することが可能になります。これにより、サーバー側での逆シリアル化が行われ、最終的にはリモートコード実行(RCE)が可能になります。これはIntegrity Checkを通過したペイロードを通じて行われます。
- 潜在的な影響
- MSPおよび顧客への影響: CentreStackは多くのマネージドサービスプロバイダー(MSP)によって使用されており、その顧客ネットワークやデータに対する特権アクセスが攻撃者に与えられてしまうリスクがあります。このため、CentreStackを利用している顧客全体が危険にさらされる可能性があります。
- 広範な影響: CentreStackが提供するマルチテナンシーやホワイトラベルブランディング、Active Directory統合機能があるため、広い顧客ベースがターゲットになる可能性があります。
- 推奨される対策
- 1. アップデート: Gladinetは、「バージョン16.4.10315.56368」へのアップデートを推奨しています。このバージョンでは、各インストールごとにユニークな`machineKey`が自動生成され、ハードコードされたキーの使用による脆弱性が排除されます。
- 2. 一時的な緩和策: 即時のアップデートが実施できない場合、`machineKey`の値を定期的に変更(ローテーション)することが推奨されます。これにより、攻撃者が取得したキーを使う期間を限定できます。
- 3. モニタリングとアラート: システムとネットワークの不正なアクセスを検知するために、追加のモニタリングとアラート設定を実施することが重要です。
