まとめ:Gladinetのファイル共有サーバーに深刻なRCE脆弱性、ハードコード鍵が原因
Gladinetのファイル共有製品(CentreStack / Triofox) において、ハードコードされた暗号鍵が原因でリモートコード実行(RCE)が可能になる深刻な脆弱性が発覚しました。
セキュリティ企業 Huntress は、すでに実攻撃が進行中であると警告しています。
脆弱性の概要
- CentreStack / Triofox では、アクセストークン暗号化に使われるAES鍵とIVが固定値
- サービス起動ごとに鍵を生成すべきところ、
同一の100バイト固定文字列(中国語・日本語テキスト)を毎回使用 - 攻撃者は鍵を一度取得すれば、
- トークンの復号
- 任意トークンの再生成
が可能
その結果、認証不要で任意ファイルへアクセスできる状態になります。
何ができてしまうのか
この脆弱性を悪用すると、攻撃者は以下を実行可能です:
- 任意ファイルの取得(例:
web.config) - ASP.NETのmachineKeyを奪取
- 悪意ある ViewState ペイロード を生成
- ASP.NETデシリアライズ攻撃によるRCE
➡ Webサービス権限でコードが実行され、
マルウェア設置・バックドア永続化・認証情報窃取につながります。
攻撃の実態
Huntressは、以下の攻撃チェーンを確認しています:
- 既知のLFI脆弱性 CVE-2025-11371 を悪用
web.configを取得- machineKeyを使いViewState攻撃
- リモートコード実行
- 認証不要
- 特権アクセス不要
- 必要なのは デフォルト鍵の知識のみ
すでに 9社のエンタープライズ顧客で侵害を確認しています。
影響を受ける製品
- Gladinet CentreStack
- Gladinet Triofox
いずれも インターネット公開されているサーバーは特に高リスクです。
対応策(最重要)
即時対応が強く推奨されています。
1️⃣ 緊急パッチ適用
- 最新版:16.12.10420.56791
- 2025年12月8日にGladinetが修正リリース
2️⃣ パッチがすぐ当てられない場合の緩和策
machineKeyをランダム値へ手動変更- インターネット公開の制限
- 不審なリクエスト(
web.config取得)のログ監視
※ Huntressは web.config を狙う暗号化GETリクエストをIOC として共有しています。
注意点:過去の経緯
Gladinetは以前も同様のハードコード鍵問題を完全に修正できず、
攻撃者が修正後の環境でも再悪用した事例がありました。
👉 今回は 「パッチ適用+設定見直し+監視」 の三点セットが必須です。
まとめ(要点)
- 固定AES鍵という設計ミスが根本原因
- 認証不要でRCEに直結
- すでに実攻撃が進行中
- インターネット公開サーバーは特に危険
- 即時アップデートが必須
