Die Schwachstelle CVE-2025-12480 betrifft Gladinet Triofox und ermöglicht Remote Code Execution (RCE) mit SYSTEM-Rechten ohne vorherige Anmeldung. Der Fehler wird mit CVSS 9,1 bewertet und resultiert aus einer fehlerhaften Zugriffskontrolle, bei der bestimmte HTTP-Anfragen als vertrauenswürdig eingestuft werden, wenn sie scheinbar von localhost stammen. Laut Google Threat Intelligence wird diese Logik bereits in zielgerichteten Angriffen missbraucht.
Authentifizierungs-Bypass durch fehlerhaftes Vertrauen in localhost
Kern des Problems ist eine Logikschwäche: Triofox interpretiert Requests als administrativ, wenn sie wie lokale Aufrufe aussehen. Angreifer können dies ausnutzen, indem sie HTTP-Header wie Host oder Referer manipulieren, um die Herkunft vorzutäuschen und damit Passwortprüfungen zu umgehen.
Besonders kritisch ist die Standardkonfiguration. Ist der optionale Parameter TrustedHostIp in der web.config nicht gesetzt, bleibt die Gleichsetzung „lokal = vertrauenswürdig“ der einzige Schutzmechanismus. Systeme ohne zusätzliche Prüfungen oder vorgelagerte Proxy-Validierung sind dadurch exponiert. Vergleichbare Risiken sind aus der Praxis unter Stichworten wie Host-Header-Injection und unzureichender Source Validation bekannt (vgl. OWASP-Empfehlungen).
Aktive Ausnutzung: TTPs und Angriffskette
Trotz verfügbarer Korrekturen werden veraltete Installationen angegriffen. Laut Google kompromittierte die Gruppe UNC6485 u. a. Systeme mit Version 16.4.10317.56372, nutzte den Authentifizierungs-Bypass zur Rechteausweitung und erlangte im Anschluss Vollzugriff.
Nach dem initialen Zugang veränderten die Angreifer die Konfiguration des integrierten Antivirus-Mechanismus so, dass ein eigener Script Runner gestartet wurde. Der Prozess übernahm die Privilegien des Triofox-Dienstes und lief im SYSTEM-Kontext. In der Folge kamen Automatisierungs- und Remote-Tools zum Einsatz: per PowerShell wurde ein Zoho UEMS-Installer nachgeladen, anschließend Zoho Assist und AnyDesk für Fernzugriff und laterale Bewegung. Für Tunnel und RDP-Folgeschritte setzten die Angreifer auf PuTTY/Plink. Diese TTPs sind konsistent mit beobachteten Mustern bei Post-Exploitation und Remote-Administration in Unternehmensumgebungen.
Patch-Status und empfohlene Versionen
Der Hersteller hat einen Fix in 16.7.10368.56560 (seit 26. Juli verfügbar) ausgeliefert. Als aktuelle stabile Version gilt 16.10.10408.56683 (Release 14. Oktober). Google Threat Intelligence bestätigt die Behebung der Schwachstelle in diesen Builds. Betroffen sind primär Installationen auf verwundbaren Versionen mit Default-Setup.
Abwehrmaßnahmen: Härtung, Erkennung und Betrieb
Sofort updaten: Aktualisieren Sie mindestens auf 16.7.10368.56560, vorzugsweise auf 16.10.10408.56683. Stellen Sie sicher, dass alle Cluster-Knoten und Rollen konsistent gepatcht sind.
Zugriff korrekt einschränken: Hinterlegen Sie einen Whitelist-Eintrag in TrustedHostIp, vermeiden Sie blindes Vertrauen in localhost und begrenzen Sie Admin-Endpunkte auf interne Segmente/VPN.
Header-Validierung am Edge: Erzwingen Sie am WAF/Reverse-Proxy feste Host/Referer-Werte, validieren Sie X-Forwarded-*-Header strikt und blockieren Sie anomale externe Zugriffe auf Admin-APIs.
Starke Authentifizierung: Aktivieren Sie MFA für Admins, entfernen Sie Default-Credentials und auditieren Sie Rollenberechtigungen regelmäßig. Diese Maßnahmen entsprechen Best Practices aus Zero-Trust-Ansätzen.
AV-Integration absichern: Prüfen Sie, dass der Pfad des integrierten Scanners auf legitime Binärdateien zeigt, verhindern Sie Script-Ausführung aus unüblichen Verzeichnissen und nutzen Sie Application Whitelisting/ASR-Regeln.
Monitoring und IR: Überwachen Sie die Anlage neuer Admin-Accounts, Konfigurationsänderungen am AV, PowerShell-Aufrufe unter Dienstkonten, Tunnelprozesse und atypischen RDP-Verkehr. EDR-Regeln sollten auf Prozessanomalien und Living-off-the-Land-Techniken ausgerichtet sein.
Netzsegmentierung und Egress-Kontrolle: Beschränken Sie RDP/Remote-Tools, setzen Sie Jump-Hosts ein und definieren Sie restriktive ausgehende Firewall-Policies, um Tool-Nachladungen zu verhindern.
Organisationen sollten die Lücke als Weckruf verstehen: Vertrauen auf Herkunftsattribute wie localhost ist kein valider Sicherheitsanker. Solche Logikfehler sind mit geringem Aufwand ausnutzbar und führen zu maximalen Auswirkungen. Schnelles Patchen, robuste Proxy-Validierung und ein Zero-Trust-Mindset reduzieren das Risiko signifikant. Führen Sie ein beschleunigtes Update, einen Kurz-Audit Ihrer Admin-Konten und der AV-Integration durch und verstärken Sie die Überwachung der Admin-Endpunkte – je kleiner das Zeitfenster, desto geringer die Chancen für erfolgreiche Kompromittierungen.
