大手サイバーセキュリティー企業Wallarm(ワラーム)は、この脆弱性は2025年7月19日に公開された、オンプレミスのMicrosoft SharePoint Serverに影響を及ぼす重大なリモートコード実行(RCE)脆弱性(CVE-2025-53770、別名ToolShell)について説明した。この脆弱性により、認証されていない攻撃者が安全でないデシリアライゼーション技術を悪用することで、任意のコードをリモートから実行できる。SharePointは広く利用され、インターネットに公開されているため、特に実際に悪用されていることが確認されていることから、侵害の可能性は極めて高いといえる。
CVE-2025-53770という脆弱性は、Microsoft SharePointのViewStateデシリアライゼーションにおける欠陥を標的としている。攻撃者は、Refererヘッダーを悪用し、細工された.aspxファイルをアップロードすることで、認証を回避し、リモートペイロードを実行できる。実行されると、これらのペイロードはサーバーからASP.NETマシンキーを抽出し、サーバーが正当なものとして受け入れる悪意のあるViewStateデータを作成できる。この脆弱性は、認証前のリモートコード実行の脆弱性として「重大」に分類されており、CVSSスコアは推定9.8だ。これは、悪用が容易であること、必要な権限が不足していること、そして深刻な潜在的影響があることを反映している。
この脆弱性の根本的な原因は、ViewStateを介した安全でないデシリアライゼーション、特に悪意のあるコントロールの挿入にある。このペイロードは、SharePointによってデシリアライゼーションされると、攻撃者が既にマシンキーを保有している場合、任意のコード実行につながる。Wallarmは、脆弱性が明らかになった直後に検出ルールを導入し、悪用行為を特定してブロックした。数時間以内に、Wallarmの顧客は保護された。これらのルールは、細工されたViewStateペイロードと、脆弱なエンドポイントへの異常なアクセスを検出する。
Wallarmは、脆弱性の公開後、エクスプロイトの試みが急増したことを検知した。GitHubの公開リポジトリーには既に動作する概念実証ペイロードが公開されており、エクスプロイトのハードルはさらに低くなっている。Wallarmは、影響を受けるSharePointサーバーに直ちにパッチを適用し、ASP.NET暗号化キーをローテーションし、システム内の侵害の兆候を検査し、パッチが適用されていない場合は公開されているSharePointインスタンスを隔離することをクライアントに推奨している。この多層防御により、プロアクティブな緩和策とフォレンジック対応の両方が確保される。
本稿執筆時点で、Shodanの検索結果にはインターネットに接続されたSharePointインスタンスが16,405件表示されており、その多くが脆弱である可能性が高いことが示されている。これは、脆弱性の規模と、公開されている展開の修復が緊急に必要であることを浮き彫りにしている。ウェブアプリケーションおよびAPI保護(WAAP)ソリューションは、多層セキュリティー戦略に不可欠であり、仮想パッチ適用、リアルタイムの脅威検出、そして攻撃対象領域の保護を提供する。特に、脆弱性の発見から修復までの高リスク期間において、その効果は絶大だ。Wallarmによるこの脆弱性への迅速な対応は、WAAPがいかに効果的に脆弱性のギャップを埋め、重要なシステムに影響を与える前に攻撃をブロックできるかを示している。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
