Critical Vulnerabilities: CISA Alerts to Windows CLFS and Gladinet CentreStack Threats
2025/04/09 SecurityOnline — 4月8日付で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2件の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、ユーザーに対して速やかにパッチを適用するよう促している。1つ目は、Microsoft Windows Common Log File System (CLFS) の脆弱性 CVE-2025-29824 であり、2つ目は、Gladinet CentreStack の脆弱性 CVE-2025-30406 である。
RansomEXX の攻撃を受ける Windows CLFS ドライバ
Microsoft Windows Common Log File System (CLFS) ドライバに存在する、深刻度の高いゼロデイ脆弱性 CVE-2025-29824 は、現時点で懸念されるものである。Microsoft が認めたのは、この脆弱性を積極的に悪用する RansomEXX ランサムウェア集団がし、侵害したシステムの SYSTEM 権限を取得しているという現実である。
この脆弱性は、メモリ解放後の使用 (use-after-free) に分類されており、低権限のローカルの攻撃者であっても、SYSTEM 権限への昇格を、ユーザーの介入を必要とせずに、最小限の複雑さで達成するという。Microsoft は、一部の Windows バージョン向けにパッチをリリースしたが、Windows 10 x64/32 Bit システム向けのパッチは遅れている。
Microsoft の発表内容によると、米国の IT/不動産および、ベネズエラの金融セクター、スペインのソフトウェア企業、サウジアラビアの小売セクターなどが、攻撃の標的にされているという。ただし、Windows 11 バージョン24H2は、この脆弱性の影響を受けない。
Microsoft は Storm-2460 として追跡する、RansomEXXグループによる攻撃の流れは、PipeMagic バックドア・マルウェアをインストールし、ファイルを暗号化した後に CVE-2025-29824 を悪用することで、ランサムウェア・ペイロード/身代金要求メッセージを展開するというものだ。
Gladinet CentreStack の暗号キーの脆弱性
CISA カタログに追加された、2つ目の脆弱性は、Gladinet CentreStack に影響を与える CVE-2025-30406 である。この脆弱性は、ViewState の整合性検証において、ハードコードされたマシンキー、または、適切に保護されないマシンキーを、アプリケーションが使用することに起因している。
このマシンキーを入手または予測した攻撃者は、ViewState データの偽造を達成し、その結果として、不正な操作を可能にする。また、ViewState のコンフィグレーションに応じて、デシリアライゼーション攻撃が展開され、Web サーバ上でのリモートコード実行 (RCE) の可能性が生じる。この脆弱性も、悪用が実際に確認されている。
緩和策と改善策
これらの脆弱性の積極的な悪用を認識している CISA は、連邦政府のユーザーたちに対して、2025年4 月29日までに必要なパッチを適用するよう指示している。
なお、Gladinet CentreStack の脆弱性 CVE-2025-30406 については、パッチ適用済みのバージョン (ビルド 16.4.10315.56368) へのアップデートが推奨される。このバージョンでは、インストールごとに一意のマシンキーが自動的に生成される。
速やかな更新が不可能な場合には、暫定的な緩和策として、マシンキー値のローテーションが推奨される。一意のマシンキーを生成するための、詳細な手順については、提供されている KB の記事を参照してほしい。
Gladinet CentreStack の新しいマシンキーを手動で生成/適用する手順:
- CentreStack インストール・フォルダ “C:\Program Files (x86)\Gladinet Cloud Enterprise\root” へ移動。
- web.config ファイルをバックアップ。
- Internet Information Services (IIS) Manager を開く。
- Sites -> Default Web Site を選択。
- ASP.NET セクションで Machine Key をダブルクリック。
- “Generate Keys” をクリックして、“Apply” をクリック。
- ポータル・フォルダ “C:\Program Files (x86)\Gladinet Cloud Enterprise\portal” にある web.config ファイルをバックアップ。
- “portal\web.config” ファイルを編集し、”<machineKey decryption” で始まる行を削除。その後に、ファイルを保存。
- IIS を再起動 (CentreStack サーバが1台の場合)。
- サーバーファームの場合には、最初のノードで新しいマシンキーを生成し、他のノードの “root\web.config” ファイルにコピー。
- 他のノードで、”root\web.config” ファイルをバックアップし、最初のノードと同じ machineKey を使用するように編集。
- 他のすべてのノードの “portal\web.config” ファイルで “machineKey” コンフィグを確認/削除。
- そのノードで IIS を再起動。
Windows CLFS の脆弱性 CVE-2025-29824 と、Gladinet CentreStack の脆弱性 CVE-2025-30406 が、CISA KEV に登録されました。Windows CLFS の脆弱性 CVE-2025-29824 については、以下の記事でも詳しく取り上げています。よろしければ、CISA KEV ページと併せて、ご利用ください。
2025/04/09:CLFS の脆弱性:PipeMagic RAT 経由でランサム攻撃
2025/04/08:MS 月例アップデート:CLFS の脆弱性などを FIX
IoT OT Security News 
You must be logged in to post a comment.