ファイル共有サービスのゼロデイ脆弱性が悪用 複数製品に影響か：Cybersecurity Dive

ソフトウェア企業のGladinetのファイル共有プラットフォーム「CentreStack」に存在するゼロデイ脆弱性がサイバー攻撃者に悪用されている。既に複数の製品に影響が出ているようだ。

[Rob Wright，Cybersecurity Dive]

　サイバーセキュリティ企業であるHuntressは2025年4月14日（現地時間、以下同）、脆弱（ぜいじゃく）性「CVE-2025-30406」の悪用に関する調査結果を公開した（注1）。この脆弱性は、マネージドサービスプロバイダー（MSP）向けに提供されている、ソフトウェア企業のGladinetのファイル共有プラットフォーム「CentreStack」に存在するデシリアライゼーションに関連するものだ。

　Huntressによると、このゼロデイ脆弱性を悪用して7つの組織が侵害されているという。同脆弱性の悪用においては、リモートでコードを実行できるようにハードコードされた暗号鍵の使用が関係している。

ファイル共有プラットフォームのゼロデイ脆弱性が絶賛悪用中

　Huntressは、Gladinetの製品「Triofox」もハードコードされた鍵に依存しており、「CVE-2025-30406」の影響を受けると警告した（注2）。Gladinetによると、Triofoxは大企業向けに設計されたオンプレミス型のファイル共有サーバだという。

　米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）は2025年4月9日、「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に「CVE-2025-30406」を追加した（注3）。Gladinetはこの脆弱性を同年4月3日に初めて公表し、その時点で実際の攻撃による悪用が確認されていると警告していた。

　「CVE-2025-30406」は、CentreStackの設定ファイルにおいてデフォルトで使用されているハードコードされた鍵に起因する重大な脆弱性だ。Huntressによると、この鍵は「非常に一般的でよく研究された攻撃手法」に利用される可能性があり、攻撃者がCentreStackのインスタンスおよびその中に含まれる顧客データを完全に制御できるようになる恐れがあるという。

　米国の国家脆弱性データベース（NVD）およびCVE.orgによると（注4）、この脆弱性は2025年3月に実際の攻撃で悪用されていた。Huntressのジョン・ハモンド氏（プリンシパルセキュリティリサーチャー）は調査記事の中で「当社の顧客環境においてCentreStackを稼働させているエンドポイントが120台確認され、そのうちの脆弱なインスタンスを通じて7つの異なる組織が侵害された」と述べている。

　また、ハモンド氏は「CVE-2025-30406」がCentreStackだけでなく、他の製品にも影響を及ぼすと警告している。同氏は、次のように語った。

　「この脆弱性がGladinetのTriofox（バージョン16.4.10317.56372まで）に影響を与えることに注意を払わなければならない。デフォルトの状態では、Triofoxの旧バージョンも設定ファイルに同じハードコードされた暗号鍵を含んでおり、リモートコード実行に悪用されやすい状態である」

　NVDやCVE.orgにおける「CVE-2025-30406」の記載の中に、Triofoxに関する言及はない。同様にGladinetが最初に公開した「CVE-2025-30406」に関するアドバイザリーもTriofoxには触れていなかった。しかし、後に同社はTriofox向けの緩和策を含む別のアドバイザリーを発行した（注5）。

　「GladinetのCentreStackまたはTriofoxが、これらのハードコードされた鍵を使用したままインターネットに公開されている場合、非常に危険な状態だ。パッチを速やかに適用するか、machineKeyの値を変更する必要がある」（ハモンド氏）

　ハモンド氏は「Cybersecurity Dive」に対して「HuntressはTriofoxのインスタンスに対する悪用は確認していない」と述べた。一方で、CentreStackのインスタンスに対する悪用の活動は顕著であると指摘している。

　「私たちのテレメトリーデータに基づくと、確認された悪用は特定の攻撃者やグループによるものとは考えにくく、MSPを標的にしたものでもない。むしろ、機会を狙った攻撃であることを示唆している」（ハモンド氏）

　さらにHuntressは、攻撃者がオープンソースのリモート管理ツールである「MeshCentral」を使用して、被害者の環境内を横断的に移動している様子も確認した。ブログ記事には、これらの攻撃に関連するIPアドレスやその他の侵害の痕跡（IoC）も掲載されている。

　アドバイザリの中で、Gladinetは顧客に対して、CentreStackのバージョンを「16.4.10315.56368」にアップグレードするよう求めている。このバージョンでは、インストールごとに一意の鍵が自動生成されるようになっているためだ。また、パッチの適用が難しい顧客に対しては、一時的な対策として鍵を手動でローテーションするよう強く呼びかけている。

（注1）CVE-2025-30406 Detail（NIST）
（注2）CVE-2025-30406 - Critical Gladinet CentreStack & Triofox Vulnerability Exploited In The Wild（HUNTRESS）
（注3）Zero-Day in CentreStack File-Sharing Platform Under Attack（DARKREADING）
（注4）CVE-2025-30406（CVE）
（注5）Security Advisory for CVE-2025-30406（Gladinet）

原文へのリンク