Gladinet CentreStack の脆弱性 CVE-2025-11371／14611：Clop ランサムウェアによる悪用を確認

Clop Ransomware Group Exploiting Gladinet CentreStack Servers to Steal Data

2025/12/19 CyberSecurityNews — Clop ランサムウェア・グループが開始した新たなデータ恐喝キャンペーンは、インターネットに接続された Gladinet CentreStack ファイル・サーバを標的とするものだ。この攻撃は、ファイル転送ソリューションを標的とした新たな侵害パターンであり、脅威アクターによる手口の巧妙化を示している。このキャンペーンでは、Gladinet の CentreStack／Triofox に存在する複数のセキュリティ脆弱性が悪用されているようだ。その中には、最近になって発見された脆弱性も含まれ、それを悪用する攻撃者による、企業の機密データへの不正アクセスが可能になっているようだ。

最近のポートスキャン・データによると、200 以上の固有 IP アドレスが “CentreStack – Login” という HTTP タイトルを持つシステムを実行しているようであり、Clop グループの潜在的な標的となっている。

攻撃者は ０−Day／N-Day 脆弱性を悪用して、これらのシステムに侵入している。

Curated Intelligence のアナリストたちが指摘するのは、複数の組織がこの新たな恐喝キャンペーンに遭遇しており、コミュニティのインシデント担当者たちが広範な影響に対して懸念を高めている状況である。

このキャンペーンの手口は、ファイル転送サーバを標的とする際に用いる、これまでの Clop の手法を踏襲している。このグループが、これまでに侵害してきたプラットフォームとして挙げられるのは、Oracle EBS／Cleo FTP／MOVEit／CrushFTP／SolarWinds Serv-U／PaperCut／GoAnywhere などである。

そして、CentreStack への攻撃が示すのは、ファイルの安全な保存と共有に利用されるエンタープライズ・システムの悪用という、彼らの標的戦略の拡大である。

CentreStack と Triofox 製品には、２つの重大な脆弱性が確認されている。１つ目の脆弱性 CVE-2025-11371 は、未認証のローカルファイル・インクルードの欠陥であり、それを悪用する攻撃者は、アプリケーションの Web.config ファイルからマシンキーを取得できる。

脅威アクターたちは、ディレクトリ・トラバーサルを介して “/storage/t.dn” にある脆弱なエンドポイントを悪用し、サーバ上の任意ファイルにアクセスする。

２つ目の脆弱性 CVE-2025-14611 は、AES 実装にハードコードされた暗号鍵に関連するものであり、攻撃者に対してアクセス・チケットの復号／偽造を許すものだ。

攻撃チェーンの技術的な詳細

この脆弱性を悪用する攻撃者は、脆弱な “/storage/t.dn” エンドポイントを介して CentreStack サーバを攻撃対象にしていく。ディレクトリ・トラバーサル・シーケンスを用いてクエリ・パラメータを操作し、”Web.config” ファイルを取得することで、そこに含まれるハードコードされたマシンキーを取得する。リクエスト例は、以下のとおりである。

GET /storage/t.dn s=..\\..\\..\\Program+Files+(x86)\\Gladinet+Cloud+Enterprise\\root\\Web.config&sid=1

こうしてマシンキーを取得した攻撃者は、ViewState デシリアライゼーション攻撃を実行し、リモートコード実行を実現する。

脆弱性 CVE-2025-14611 の悪用により、ハードコードされた暗号キーのタイムスタンプは “9999” に設定されるため、永続的なアクセス・チケットの作成が可能となり、侵害されたシステムへの無期限とも言えるアクセスが許可される。

これらの手法により、Clop グループは認証を必要とせずにデータ窃取を可能にするため、影響を受ける組織にとって検出と防御が困難になっている。

CentreStack または Triofox を使用する組織にとって必要なことは、直ちにバージョン 16.12.10420.56791 へとアップデートし、マシンキーをローテーション (変更) することだ。

管理者が Web サーバログで確認すべきことは、不審な GET リクエストである “vghpI7EToZUDIZDdprSubL3mTZ2” などが存在しないことである。それらが示すのは、 Web.config ファイルへの暗号化されたパスである。

この問題の原因は、サーバ上のファイル処理の不備と、暗号化に用いる情報の管理方法の不備にあります。外部からのリクエストに含まれる、ファイルの保存場所の指定を正しく制限できないため、本来アクセスできない設定ファイルなどの読み取りを、攻撃者に許す状態になっています。この “Web.config” ファイルには、システムの安全を守るためのマシンキーが含まれています。さらに、暗号化の鍵がプログラム内にハードコードされていることも、被害を深刻にしました。この２つの不備が組み合わされることで、攻撃者はログインすることなく、サーバを自由に操作し、期限のない不正なアクセス権を作成できてしまいます。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-11371 での検索結果も、ご参照ください。