セキュリティ

SECURITY

公開：2025-04-16

【CVE-2025-30406】CentreStackに深刻な脆弱性、machineKeyによるリモートコード実行の危険性が発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• CentreStackに深刻な脆弱性が発見され緊急対応が必要
• ポータルのmachineKey利用による脆弱性で遠隔実行が可能
• バージョン16.4.10315.56368で修正済み

CentreStack16.1のmachineKeyによる深刻な脆弱性

Gladinet社のCentreStackにおいて、バージョン16.1.10296.56315以前に深刻な脆弱性が発見され、2025年4月3日に公開された。CentreStackポータルのハードコードされたmachineKeyを利用した脆弱性により、2025年3月には実際に攻撃が確認されており、リモートコード実行の可能性が指摘されている。^[1]

この脆弱性は、攻撃者がmachineKeyを把握することで、サーバーサイドでのデシリアライゼーションを介してペイロードをシリアライズし、リモートコード実行を可能にする危険性を持つ。脆弱性はCVSS 3.1で深刻度9.0のクリティカルと評価され、早急な対応が求められている。

Gladinet社は対策として、バージョン16.4.10315.56368でこの問題を修正している。CentreStack管理者は暫定対策として、portalweb.configに定義されているmachineKeyを手動で削除することで、この脆弱性に対処することが可能だ。

CentreStackの脆弱性詳細

デシリアライゼーション攻撃について

デシリアライゼーション攻撃とは、シリアライズされたデータを復元する過程を悪用する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 信頼できないデータのデシリアライズによる任意のコード実行
• オブジェクトの状態を復元する際の検証不足を突いた攻撃
• 権限昇格やリモートコード実行につながる危険性

CentreStackの事例では、ハードコードされたmachineKeyを利用することで、攻撃者は悪意のあるペイロードをシリアライズし、サーバーサイドでデシリアライズさせることが可能となった。この攻撃手法は特に深刻で、システム全体に重大な影響を及ぼす可能性があることから、早急な対策が必要とされている。

CentreStackの脆弱性に関する考察

ハードコードされたmachineKeyの使用は、開発の利便性を優先した結果として選択された可能性が高いが、セキュリティ上の重大なリスクを生み出してしまった。今後は同様の問題を防ぐため、machineKeyの動的生成や定期的なローテーションなど、より安全な実装方法を検討する必要があるだろう。

この脆弱性の発見は、クラウドストレージソリューションにおけるセキュリティ設計の重要性を再認識させる機会となった。今後はセキュリティレビューのプロセスを強化し、特に認証や暗号化に関わる実装については、より厳密な検証が必要となるはずだ。

CentreStackユーザーにとって、この脆弱性への対応は運用面での課題となる可能性が高い。バージョンアップによる修正が推奨されるが、システムの依存関係によっては即座の更新が困難なケースも想定される。そのような場合に備え、一時的な対処方法の提供は重要な意味を持つだろう。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-30406, (参照 25-04-16).
1513

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧