CISA KEV 警告 22/11/04：Gladinet と Triofox の脆弱性 CVE-2025-11371 を登録

CISA Issues Alert on Gladinet CentreStack and Triofox Vulnerabilities Under Active Exploitation

2025/11/05 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Gladinet CentreStack と Triofox に影響を与える深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。それが示すのは、連邦政府の組織において、この脆弱性が実際に悪用されていることだ。この脆弱性 CVE-2025-11371 は、機密性の高いシステム・ファイルを外部の第三者に公開するため、これらのクラウド・ファイル共有プラットフォームを利用する組織に深刻なリスクをもたらす。

脆弱性の概要

この脆弱性 CVE-2025-11371 (CWE-552) を悪用するリモート攻撃者は、保護されるべき機密性の高いファイルやディレクトリへのアクセスを可能にし、システム情報の漏洩などを引き起こす可能性を得る。

この脆弱性は、Gladinet プラットフォーム内の不十分なアクセス制御に起因し、影響を受けるシステムに保存されている機密データの漏洩を引き起こす可能性がある。

脆弱性の分類コードである CWE-552 が示すのは、クラウド環境やストレージ・ソリューションへの攻撃が生じやすいという性質である。これらの環境において、権限設定の誤りが生じると、権限のないユーザーに対して機密情報へのアクセスを許すことになる。

ファイル共有とリモート・アクセス用に設計された CentreStack と Triofox のケースでは、この脆弱性を悪用する外部の脅威アクターが、適切な認証や承認を必要とすることなく、重要なファイルを取得する可能性が生じる。

CISA は、2025年11月4日に CVE-2025-11371 を KEV カタログに追加し、2025年11月25日を対応期限としている。このタイムラインが示すのは、連邦政府機関と重要インフラ組織が３週間以内に対処する必要性であり、セキュリティ・コミュニティに緊急性が生じている。

この脆弱性が、すでに積極的に悪用されているという事実が意味するのは、脅威アクターがセキュリティ制御を回避し、影響を受ける Gladinet プラットフォームを介してファイルにアクセスする、実用的な手法を開発したことだ。

したがって、ユーザー組織としては、この問題を理論的なリスクとしてではなく、緊急のパッチ適用または修復を要する、差し迫った脅威として扱う必要がある。

CISA は、影響を受ける組織に対して３種類の緩和策を提示している。

まず、管理者にとって必要なことは、Gladinet が提供するすべてのパッチとセキュリティ・アップデートをベンダーの指示に従って適用することだ。これらのアップデートは不正アクセス経路を遮断し、適切なアクセス制御を回復するように設計されている。

２つ目として、機密データを扱う連邦政府の機関および組織は、クラウド・サービスのセキュリティに特化した BOD 22-01 ガイダンスに従う必要がある。この指令はクラウド・インフラ監視／多要素認証の適用／ゼロトラスト・セキュリティ原則の実装の重要性を強調している。

３つ目として、緩和策の迅速な適用が不可能な場合や、それらの緩和策が不十分であることが判明した場合には、組織は影響を受ける Gladinet CentreStack および Triofox 製品の使用を完全に中止することを検討すべきである。それにより、運用に大きな影響が生じるが、重要な環境での悪用リスクを優先して排除する必要がある。

ユーザー組織としては、そのインフラ内に存在する、CentreStack または Triofox プラットフォームの、すべてのインスタンスを直ちに調査する必要がある。

セキュリティ・チームにとって必要なことは、Gladinet の公式 Web サイトとセキュリティ・アドバイザリにおいて、脆弱性 CVE-2025-11371 に対応するパッチまたは回避策を確認することである。

Gladinet CentreStack と Triofox の不十分なアクセス制御の脆弱性 CVE-2025-11371 が、CISA KEV に登録されました。保護すべきファイルやディレクトリへの制限が適切に機能しておらず、認証を経ずに外部から機密情報にアクセスできてしまう点が問題となっています。クラウド共有環境では権限設定が複雑になりやすいため、ミスコンフィグがデータ漏洩に直結します。特に CentreStack や Triofox のようなリモート・アクセス製品では、利便性の裏でアクセス範囲の管理が緩くなる傾向があり、その設計上の特性がリスク拡大につながると、この記事は指摘しています。よろしければ、CISA KEV で検索を、ご参照ください。