A közelmúltban biztonsági kutatók egy súlyos sebezhetőséget azonosítottak a Gladinet Triofox fájlmegosztó és távoli hozzáférést biztosító platformjában, amely lehetővé teszi a támadók számára, hogy távoli kódvégrehajtást hajtsanak végre SYSTEM jogosultságokkal. Ez a biztonsági rés, azonosítva CVE-2025-12480 jelöléssel, az alkalmazás beépített antivírus funkcióját is kihasználja, így komoly veszélyt jelent minden érintett rendszerre.
A sebezhetőség felfedezése és kihasználása
A Google Threat Intelligence Group (GTIG) kutatói 2025. augusztus 24-én fedezték fel a rosszindulatú tevékenységet, amikor az UNC6485 nevű fenyegetéscsoport egy Triofox 16.4.10317.56372 verziójú szervert célozott meg. Ez a verzió 2025. április 3-án jelent meg.
A probléma gyökere egy hozzáférés-ellenőrzési logikai hiba, amely során az adminisztrátori jogosultságot akkor adják meg, ha az alkalmazás kérésének URL host része localhost. Ez a mechanizmus lehetővé teszi a támadók számára, hogy az HTTP Host fejléc hamisításával megkerüljék az összes hitelesítési ellenőrzést.
A Mandiant szakértői rámutatnak, hogy ha a TrustedHostIp paraméter nincs konfigurálva a web.config fájlban, akkor a localhost-ellenőrzés válik az egyetlen védelmi vonallá. Ez pedig alapértelmezett telepítések esetén lehetőséget ad arra, hogy hitelesítés nélkül férjenek hozzá az adminisztrációs felülethez.
A hibajavítás és frissítések
A CVE-2025-12480 sebezhetőségre javítás jelent meg a Triofox 16.7.10368.56560 verziójában, amelyet 2025. július 26-án adtak ki. A GTIG kutatói megerősítették a gyártónál, hogy a hiba ekkor már javításra került.
Az antivírus funkció visszaélése
A Mandiant vizsgálata szerint az UNC6485 csoport úgy használta ki a sebezhetőséget, hogy egy HTTP GET kérést küldött, melynek HTTP Referer URL-je tartalmazta a localhost-ot. A kutatók szerint:
“A localhost host fejléc jelenléte külső forrásból érkező kérésben rendkívül szokatlan és általában nem jellemző legitim forgalomra.”
Ezzel sikerült hozzáférniük az AdminDatabase.aspx konfigurációs oldalhoz, amelyet a Triofox telepítés utáni beállítására használnak. A támadók létrehoztak egy új adminisztrátori fiókot “Cluster Admin” néven, majd feltöltöttek egy rosszindulatú szkriptet.
Ezt követően úgy konfigurálták a Triofoxot, hogy az antivírus szkenner helyeként ezt a szkriptet használja fel. A GTIG magyarázata szerint:
“Az antivírus szkenner helyeként beállított fájl örökli a Triofox szülőfolyamatának fiókjogosultságait, amely SYSTEM fiók kontextusában fut,”
így lehetővé téve a támadók számára a kódvégrehajtást magas jogosultságokkal.
A támadás láncolata és további műveletek
A rosszindulatú batch fájl PowerShell letöltőt futtatott, amely egy másik payloadot – egy Zoho UEMS telepítőt – töltött le külső címről. A Zoho UEMS segítségével telepítették továbbá a Zoho Assist és AnyDesk távoli eléréshez szükséges szoftvereket.
Ezeket az eszközöket használták távoli hozzáférésre és laterális mozgásra a kompromittált rendszeren belül. Emellett letöltötték és alkalmazták a Plink és PuTTY eszközöket SSH alagút létrehozására és távoli forgalom továbbítására az RDP port (3389) felé.
További ajánlások és védekezési lépések
- Frissítés: Bár a CVE-2025-12480 hibát javították a 16.7-es verzióban, a Mandiant javasolja minden rendszergazdának, hogy telepítsék a legfrissebb biztonsági frissítést is – ez jelenleg a 16.10.10408.56683 verzió (2025. október 14.).
- Adminisztrátori fiókok auditálása: Ellenőrizzék az adminisztrátori fiókokat illetéktelen hozzáférések után kutatva.
- Antivírus motor konfigurációjának ellenőrzése: Győződjenek meg arról, hogy nem futtatnak jogosulatlan szkripteket vagy binárisokat az antivírus motoron keresztül.
- Kompromittáltság jeleinek keresése: A GTIG jelentése tartalmazza az indikátorokat (IoC-k), amelyek segítenek felismerni és megelőzni hasonló támadásokat.
Kapcsolódó biztonsági incidensek
Tavaly októberben a Huntress jelentette, hogy hackerek kihasználtak egy zero-day helyi fájlbeillesztési (LFI) sebezhetőséget (CVE-2025-11371) mind a Gladinet CentreStack, mind pedig Triofox termékekben. Ez lehetővé tette számukra rendszerfájlokhoz való hozzáférést hitelesítés nélkül.
Ezt a hibát is gyorsan javították – mindössze egy héttel később –, szintén a 16.10-es verzióban (16.10.10408.56683), amely jelenleg is elérhető.
Záró gondolatok: Biztonságos fejlesztés és titkos kezelés
Akár régi kulcsokat tisztítanak ki rendszereikben, akár mesterséges intelligencia által generált kódokat használnak fejlesztéseik során, elengedhetetlen, hogy már kezdetektől fogva biztonságosan építsék fel rendszereiket.
Töltse le most titkos kezelési útmutatónkat!
Ezzel csökkenthetőek az emberi hibákból eredő kockázatok és hatékonyabbá válik az informatikai védelem minden szinten.
