CVE-2025-30406 Detection: Critical RCE Vulnerability in Gladinet CentreStack & Triofox Under Active Exploitation

広く使用されているGladinet CentreStackおよびTriofoxエンタープライズファイル共有とリモートアクセスプラットフォームにおける重大な脆弱性が表面化しました。そして、すでにアクティブな攻撃に利用されています。少なくとも7つの組織がこの脆弱性によって侵害されたと報告されています。この脆弱性はCVE-2025-30406として追跡されています。根本的な原因は何か？ハードコードされた暗号キーがインターネットに接続しているサーバーをリモートコード実行攻撃に対して危険にさらしていることです。

CVE-2025-30406脆弱性を利用した攻撃の検出

2025年4月現在、NIST NVDは14,500以上の新しいCVEを記録しており、その多くはすでに野生でエクスプロイトされています。脆弱性の迅速な武器化は、積極的な脅威検出の緊急性を強調しています。リスクを効果的に軽減するために、セキュリティチームは進化する脅威に先行するための早期発見と対応戦略を優先する必要があります。

SOC Primeプラットフォームに登録 し、CVE-2025-30406のエクスプロイト試行に対応するキュレーションされたSigmaルールセットと、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出のための完全な製品スイートにアクセスしてください。ボタンをクリックして 検出を探索 して、関連する検出スタックにすぐにアクセスしてください。

検出を探索

すべてのルールは40以上のSIEM、EDR、データレイク技術と互換性があり、脅威の調査を合理化するために MITRE ATT&CK® にもマッピングされています。さらに、各ルールには参照、攻撃タイムライン、監査構成、トリアージ推奨事項などの豊富なメタデータが付加されています。 CTI references, attack timelines, audit configurations, triage recommendations, and more. 

トレンドの脆弱性を利用したサイバー攻撃を検出するための関連コンテンツを求めるサイバー防衛者は、“CVE”タグを使用してThreat Detection Marketplaceで関連する検出アルゴリズムのコレクション全体にアクセスすることができます。

CVE-2025-30406の分析

2025年4月8日、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）は CVE-2025-30406を追加しました その既知のエクスプロイトされた脆弱性カタログに加え、野生でのエクスプロイトを確認しました。2025年3月にゼロデイとして最初に観測され、攻撃の正確な性質と範囲は不明です。この脆弱性はGladinetのCentreStackソフトウェアで最初に発見され、 バージョン16.4.10315.56368で対応されました。2025年4月3日にリリースされました。 しかし、Huntressの新しい発見により、 in version 16.4.10315.56368, released on April 3, 2025. However, new findings from Huntress この欠陥がTriofoxにも影響を及ぼしていることが確認され、 バージョン16.4.10317.56372までのもう一つのGladinet製品にまで影響を及ぼし、攻撃範囲が大幅に広がっています。

少なくとも7つの組織がすでにCVE-2025-30406の犠牲になっており、2025年4月11日までに侵入の最初の兆候が見られました。脅威行為者は脆弱性を利用してエンコードされたPowerShellスクリプトをデプロイし、悪意のあるDLLをダウンロードしてサイドロードしました。侵害後の活動としては、ネットワーク内での横移動や持続的リモートアクセスのためのMeshCentralのインストールが含まれます。調査者は、システムの列挙を実行し、MeshAgentペイロードをドロップするためのPowerShell経由でのImpacketツールの使用も観察しました。戦術がより明確になる一方で、これらのキャンペーンの完全な範囲と最終目標は依然として不透明なままです。

CVE-2025-30406は、GladinetのWebアプリケーションにおける暗号キー管理の欠陥に起因し、重大なCVSSスコア9.0を保持しています。具体的には、ソフトウェアは machineKey の値をIIS のweb.configに ハードコードまたは適切に保護されておらず、ASP.NET ViewStateデータを保護するために用いられています。攻撃者がこれらのキーにアクセスするか推測できた場合、整合性チェックを回避する悪意のあるViewStateペイロードを作成できます。特定の構成では、これがサーバーでのリモートコード実行につながる可能性のある逆シリアル化攻撃の扉を開くことになります。

この脆弱性のアクティブなエクスプロイトと重大な性質を鑑み、すべてのユーザーはGladinet CentreStackおよびTriofoxのインストールを最新の利用可能なバージョンに更新することを強く推奨されます。公式なアドバイザリーに記載されたベンダーの指示に従うことで、露出を軽減し、潜在的な攻撃に対する防御を強化することが重要です。サイバーセキュリティ姿勢をリスク最適化しようとする組織は、 アドバイザリー に従うことが重要であり、潜在的な攻撃に対抗するために防御を強化します。集団サイバー防御のために、 SOC Primeプラットフォーム に依存し、CVEエクスプロイト試行を迅速に特定し、あらゆる規模と高度なサイバー攻撃を積極的に阻止することができます。