В одной из ключевых функций Triofox не осуществлялась проверка происхождения сетевых запросов. Кроме того, путь к антивирусному модулю файлообменной системы мог быть произвольно изменён. Владельцам Triofox настоятельно рекомендуется немедленно перейти на актуальную версию программного обеспечения.
Серьёзная брешь в системе безопасности платформы Gladinet Triofox открывает возможность выполнения произвольного кода с высшими правами доступа, и с августа 2025 года ею активно пользуются злоумышленники.
Соответствующая информация содержится в исследовании компании Mandiant (входит в структуру Google). Специалисты установили, что за кибератаками стоит группа UNC6485. В классификации Google Threat Intelligence Group аббревиатура UNC обозначает неклассифицированный источник киберугроз, то есть, по сути, речь идёт о неизвестном субъекте, идентификация которого осложнена или неосуществима. Такой подход позволяет оперативно делиться данными о зафиксированных атаках определённой методики.
Как выяснили аналитики, эксплуатация уязвимости технически несложна, но при этом демонстрирует высокую эффективность. Злоумышленникам достаточно было изменить HTTP-заголовки в обращениях к платформе на значение localhost, что позволило обойти процедуру аутентификации. Фактически преступники мгновенно получали неограниченный доступ к разделам системных настроек.
Проблема связана с тем, что функция CanRunCriticalPage() не проверяла источник сетевого обращения: значение localhost воспринималось как локальное независимо от реального происхождения запроса.
Получив необходимые права, операторы UNC6485 создавали новую учётную запись администратора с именем Cluster Admin. Затем они задействовали вторую уязвимость, на этот раз касающуюся встроенного антивирусного сканера.
Оказалось, что при наличии административного доступа маршрут к антивирусному компоненту можно заменить на произвольный. Чем злоумышленники и воспользовались. При этом Triofox без каких-либо проверок запускала подменённый исполняемый файл - в данном случае вредоносный скрипт - с системными привилегиями.
«Это один из наихудших сценариев в сфере кибербезопасности: когда защитный механизм превращается в инструмент вторжения, - комментирует Александр Зонов, специалист по информационной безопасности компании SEQ. - Отметим, что это уже третья успешно используемая уязвимость в продуктах Triofox с начала года, что говорит о повышенном внимании злоумышленников к поиску - и, вероятно, обнаружению - новых изъянов в данной платформе».
В конечном итоге злоумышленники развернули на целевых системах целый арсенал средств удалённого доступа, включая Zoho Remote Access, AnyDesk, а также SSH-инструменты Plink и PuTTy.
В результате злоумышленники создали устойчивый зашифрованный канал связи между взломанными системами и командным сервером, а также попытались провести дополнительную разведку и расширить свои привилегии в системе.
Однако ситуацию удалось взять под контроль благодаря платформе Google Security Operations: специалисты Mandiant выявили следы проникновения всего через 16 минут после его начала. Среди тревожных сигналов отмечались нестандартные действия с файлами во временных папках, подозрительные HTTP-записи (в частности, внешние запросы с указанием localhost в заголовках) и появление инструментов для удалённого управления.
В конечном счёте уязвимость была зарегистрирована под идентификатором CVE-2025-12480 и получила оценку 9,8 баллов по шкале CVSS (что приближается к максимально возможному уровню опасности).
Пользователям Triofox настоятельно рекомендуется немедленно перейти на версию 16.7.10368.56560, где данная уязвимость была устранена.
