BigAnt Server の CVE-2025-0364 (CVSS 9.8):パッチ未適用と PoC の公開

CVE-2025-0364 (CVSS 9.8): BigAnt Server Zero-Day, Public Exploit Confirmed

2025/03/03 SecurityOnline — BigAntSoft BigAnt Server に、認証を必要としないリモート・コード実行 (RCE) の脆弱性が存在することを、VulnCheck のセキュリティ研究者たちが明らかにした。この深刻な脆弱性は、CVE-2025-0364 (CVSS:9.8) として追跡されている。この脆弱性の悪用に成功した攻撃者は、権限の昇格を達成し、影響を受けるシステム上で認証を必要としない、任意のコード実行の機会を手にする。

BigAntSoft BigAnt Server は、Windows ベースのオンプレミス・ビジネス・メッセージング・ソリューションである。この脆弱性は、公開されている SaaS 登録機能から発生するものであり、単純な CAPTCHA を解決する攻撃者は、管理者のユーザー・アカウントを作成できるという。この不正アクセスにより、攻撃者は Cloud Storage アドインを悪用して、認証を必要とすることなく、悪意の PHP ファイルをアップロードして実行できる。

VulnCheck によると、この脆弱性が影響を及ぼす範囲は、BigAnt Server のバージョン 5.6.06 以下とされる。研究者たちは、「攻撃者は 10 回のリクエストを連鎖させることで、認証を必要とせずに完全なリモート・コード実行を達成できる。さらに、公開されているエクスプロイトが、利用可能になっていることも確認した」と述べている

この欠陥は、権限要件の間違いにより誤分類されていた、別の脆弱性 CVE-2024-54761 の調査中に特定された。さらに調査を進めた研究者たちは、CVE-2025-0364 の発見につながる、安全が確保されていないプログラミング手法を発見した。

このエクスプロイト・チェーンには、以下のものが含まれる:

  • 公開された SaaS 登録による認証のバイパス。
  • CAPTCHA の解決による、管理者アカウントの悪用。
  • それによる、 Cloud Storage アドインへのアクセス。
  • 悪意の PHP ペイロードのアップロード。
  • 任意のコマンドのリモートでの実行。

公開されているエクスプロイトを実行した研究者は、SYSTEM 権限の取得に成功した。以下のメッセージが表示されたという:

  • ターゲットは脆弱なバージョンのようだ!
  • SaaS 組織をパスワード kyLZiAddnH で登録している。
  • JQsaYCKEOu.php をクラウド・ドライブ アドインにアップロード。
  • 10.0.0.104:51690 から新しいシェルをキャッチした。

このエクスプロイトの重要な側面は、CAPTCHA を解く以外に、ユーザーの操作を必要としないところにある。そのため、公開されているサーバにとって、きわめて深刻なリスクとなる。

この問題が発見された時点で、オンラインで公開されている約 50 台の BigAnt サーバを、VulnCheck は発見した。その後に情報が公開された時点では、この数は約 30 台に減少していたが、管理者たちが予防措置を講じたことによると考えられる。

この脆弱性の悪用においては、認証が不要であり、ダイレクトなリモート・コード実行が可能なため、深刻なセキュリティ・リスクが発生することになる。この欠陥を悪用する攻撃者は、以下の悪意のアクティビティを可能にする:

  • 影響を受けるサーバの完全な制御。
  • 機密性の高いビジネス通信の窃取。
  • ランサムウェアの展開および、永続的なアクセスの確立。

現時点において BigAntSoft は、脆弱性 CVE-2025-0364 に対する公式パッチをリリースしていない。一時的な緩和策として、管理者に推奨されるのは、以下の項目の実施である:

  • 不要な場合には SaaS 登録を無効化。
  • BigAnt Server 管理インターフェースへのパブリック・アクセスの制限。
  • ログを介した疑わしい新規アカウント登録の確認。
  • Web サーバ制限の適用による、無許可の場所からの PHP ファイル実行の防止。

セキュリティ・チームにとって必要なことには、ネットワーク・セグメンテーションの適用と、IDS (Intrusion Detection Systems) 導入の検討もある。多層の防御により、エクスプロイト試行を防ぐ必要がある。

ビジネス向けのオンプレミス・メッセージング・ソリューションである BigAnt Server に、CVSS 値 9.8 の深刻な脆弱性が発生しましたが、パッチが未適用で PoC が公開という、とても厳しい状況です。ご利用のチームは、文中の緩和策を、ご参照ください。