CVE-2025-11371: Unpatched zero-day in Gladinet CentreStack, Triofox under attack
2025/10/11 SecurityAffairs — Gladinet CentreStack と Triofox に存在する Local File Inclusion (LFI) のゼロデイ脆弱性 CVE-2025-11371 を、脅威アクターたちが悪用している。この脆弱性を悪用するローカル・ユーザーは、認証を必要とせずにシステム・ファイルにアクセスできるようになる。Gladinet の CentreStack と Triofox は、企業向けのファイル共有およびクラウド・ストレージ・ソリューションである。
- CentreStack:オンプレミス・ストレージとクラウド・アクセスを統合し、ファイル共有/同期/共同作業のための安全なプラットフォームを提供する。ユーザー企業は、データ管理を維持しながら、内部ファイル・サーバへのクラウド・ライクなアクセスを提供できる。
- Triofox:既存の Windows ファイル共有および SMB/NFS ストレージへの、安全なリモート・アクセスを可能にするハイブリッド・クラウド・ソリューションである。ファイルのバージョン管理/同期/Web アクセスなどの機能を備えており、企業サーバからデータを移動させる必要がない。
これらの製品は、リモートワークや共同作業を支援しつつ、企業ファイルを安全に管理するために使用される。専門家たちは、緩和策が存在することを認識しているが、この問題は修正されていないと警告している。
Huntress が公開した報告書には、「CVE-2025-30406 の影響を受ける CentreStack と Triofox の旧バージョンでは、ハードコードされたマシンキーにより ViewState の安全でないデシリアライズ脆弱性を介して、脅威アクターによるリモート・コード実行の可能性がある」と記されている。
その後の分析で Huntress は、「認証不要のローカル・ファイル・インクルージョンの脆弱性 CVE-2025-11371 が、悪用されていることを確認した。攻撃者はアプリケーションの Web.config ファイルからマシンキーを取得し、ViewState の安全でないデシリアライズ脆弱性を介してリモート・コードを実行できる」と報告している。
Gladinet と Huntress は、現時点で悪用されている脆弱性 CVE-2025-11371 に対する回避策を顧客に通知した。これまでに、少なくとも3社の顧客が標的になったと、両社は報告している。
Gladinet が推奨するのは、UploadDownloadProxy の Web.config 内の一時ハンドラを無効化し、この脆弱性の悪用を防ぐことだ。ただし、それにより一部のプラットフォーム機能が影響を受けるという。
この報告書は、「上記の強調表示された行を削除すれば、パッチ適用までの間、存在する脆弱性を軽減できる」と結論づけている。
主な原因は、二段階の設計上の欠陥にあるように思えます。まず認証不要の LFI により Web.config 等の機密ファイルが読み取られ、そこからハードコードされた machineKey が入手され得る点です。次に、その key を利用して ViewState の安全でないデシリアライズがリモートコード実行に結びつく点です。要するに、ファイル処理に関する脆弱性と不適切なシリアライズが連鎖して深刻な侵害を招いていると、この記事は指摘しています。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.