Исследователи кибербезопасности из Mandiant Threat Defense обнаружили критическую уязвимость нулевого дня в файлообменной платформе Triofox компании Gladinet, которая позволяла злоумышленникам обходить аутентификацию и выполнять произвольный код с привилегиями уровня системы.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-12480, активно эксплуатировалась группой угроз UNC6485 с 24 августа 2025 года. Проблема затрагивала Triofox версии 16.4.10317.56372 и была исправлена в выпуске 16.7.10368.56560.
Технический анализ показал, что атака использовала сложный двухэтапный процесс. Сначала злоумышленники манипулировали HTTP-заголовками хоста для обхода контроля аутентификации. Изменив значение заголовка хоста на "localhost" в веб-запросах, хакеры получили несанкционированный доступ к критически важным страницам конфигурации, которые должны были быть защищены.
Уязвимость существовала в функции CanRunCriticalPage() внутри кодовой базы Triofox. Функция ошибочно доверяла HTTP-заголовку хоста без проверки того, что запросы действительно поступают с локального компьютера, что позволяло удаленным злоумышленникам подделывать источник подключения.
После получения первоначального доступа UNC6485 создала новую учетную запись администратора с именем "Cluster Admin" через скомпрометированный интерфейс настройки. Затем злоумышленники вошли в систему и использовали вторую слабость во встроенной антивирусной функции Triofox.
Атакующие обнаружили, что могут настроить путь к антивирусному сканеру так, чтобы он указывал на их собственный вредоносный пакетный скрипт вместо легитимного антивирусного программного обеспечения. Когда файлы загружались в общие папки, Triofox автоматически выполнял настроенный "антивирусный" сканер, который на самом деле являлся вредоносной нагрузкой злоумышленников с полными привилегиями учетной записи SYSTEM.
Данная техника позволила UNC6485 развернуть множество инструментов, включая программное обеспечение для удаленного доступа Zoho, AnyDesk и утилиты для SSH-туннелирования, такие как Plink и PuTTY. Группа угроз использовала эти инструменты для установления зашифрованных соединений со своими серверами управления и контроля, перечисления системной информации и попыток повышения привилегий путем добавления скомпрометированных учетных записей в группу Domain Admins.
Специалисты Mandiant обнаружили вторжение в течение 16 минут с помощью Google Security Operations, идентифицировав подозрительное развертывание утилиты удаленного доступа и необычную активность с файлами во временных каталогах. Группы безопасности наблюдали аномальные записи в HTTP-логах, показывающие внешние запросы с локальными referrer-заголовками, что является явным индикатором попытки эксплуатации.
Организации, использующие Triofox, должны немедленно обновиться до версии 16.7.10368.56560 или более поздней. Кроме того, командам безопасности рекомендуется провести аудит всех учетных записей администраторов на предмет несанкционированных записей, проверить конфигурации антивирусных механизмов и провести поиск инструментов злоумышленников с использованием опубликованных запросов обнаружения Mandiant. Мониторинг необычного исходящего SSH-трафика может помочь выявить продолжающиеся компрометации.
Эксперты подчеркивают важность регулярного обновления программного обеспечения и мониторинга сетевой активности. Особое внимание следует уделять проверке HTTP-заголовков и контролю доступа к критическим системным функциям. Обнаружение этой уязвимости демонстрирует, насколько важна многоуровневая защита в современной кибербезопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-12480
- https://github.com/mandiant/Vulnerability-Disclosures/blob/master/2025/MNDT-2025-0008.md
- https://access.triofox.com/releases_history/
- https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480
