Google Threat Intelligence ha alertado sobre campañas dirigidas que explotan la CVE-2025-12480 en Gladinet Triofox, una vulnerabilidad crítica (CVSS 9,1) que permite ejecución remota de código (RCE) con privilegios SYSTEM sin autenticación. El fallo deriva de una lógica de control de acceso defectuosa que confía en exceso en peticiones que aparentan provenir del localhost. Las organizaciones con despliegues desactualizados y configuraciones por defecto son las más expuestas.
CVE-2025-12480: bypass de autenticación por confianza indebida en localhost
El núcleo del problema reside en que Triofox trata determinadas solicitudes como administrativas si parecen originarse en el propio servidor. Según Google, actores de amenazas logran simular ese origen local manipulando headers HTTP (p. ej., Host/Referer), de forma que se elude la verificación de credenciales. El riesgo se agrava cuando el parámetro opcional TrustedHostIp no está definido en web.config: en ese escenario, la premisa “local = de confianza” se convierte en el único control efectivo.
Explotación observada y cadena de compromiso
Aunque el fabricante ha publicado un parche, Google ha observado explotación de instancias sin actualizar. En agosto, un grupo rastreado como UNC6485 atacó servidores con la versión 16.4.10317.56372, aprovechando el bypass de autenticación para escalar privilegios y lograr control total del sistema.
Tras obtener acceso administrativo, los atacantes modificaron la configuración del antivirus integrado de Triofox para invocar su propio ejecutable, heredando los privilegios del servicio y ejecutándose como SYSTEM. A partir de ahí, emplearon automatización con PowerShell para descargar el instalador de Zoho UEMS y desplegar Zoho Assist y AnyDesk en tareas de acceso remoto y movimiento lateral. Para el túnel de tráfico y preparar accesos por RDP se observaron utilidades de la familia PuTTY/Plink. Este patrón ilustra cómo un fallo lógico puede convertirse rápidamente en una intrusión con persistencia y control extendido.
Versiones corregidas y estado de parches
Gladinet incorporó la corrección de CVE-2025-12480 en la compilación 16.7.10368.56560 (disponible desde el 26 de julio). La versión estable más reciente confirmada por los investigadores es 16.10.10408.56683 (14 de octubre), donde el defecto está cerrado. Los ataques se concentran en instalaciones con builds vulnerables y configuraciones por defecto.
Cómo mitigar el riesgo en Triofox
- Actualización inmediata: migrar al menos a 16.7.10368.56560, preferiblemente a 16.10.10408.56683, verificando todos los nodos y roles auxiliares.
- Endurecer la superficie de administración: definir una lista permitida en TrustedHostIp, dejar de confiar ciegamente en localhost y exponer la administración solo por red interna/VPN.
- Saneamiento de cabeceras en WAF/reverse proxy: fijar valores válidos de Host/Referer, validar estrictamente X-Forwarded-* y bloquear accesos anómalos a endpoints administrativos.
- Fortalecer autenticación y gobierno: habilitar MFA para administradores, eliminar credenciales por defecto y auditar regularmente roles y privilegios.
- Detección y respuesta: monitorizar creación de cuentas admin, cambios en la configuración del AV integrado, ejecución de PowerShell por el servicio de Triofox, aparición de túneles y tráfico RDP inusual; apoyar con EDR basado en comportamiento.
Lecciones clave: Zero Trust, validación de cabeceras y configuración segura por defecto
El caso de CVE-2025-12480 evidencia el riesgo sistémico de los fallos de lógica en límites de confianza: si la “procedencia local” puede ser imitada, el control deja de ser fiable. En entornos expuestos a Internet, resulta esencial aplicar Zero Trust, segmentar accesos, limitar privilegios, validar metadatos de red y reforzar la cadena de ejecución (listas blancas de binarios del AV, reglas de reducción de superficie de ataque y controles egress).
Para reducir el riesgo de compromiso y tiempos de inactividad asociados, las organizaciones deberían actualizar Triofox de inmediato, revisar la configuración de TrustedHostIp y de sus proxies, auditar cuentas administrativas y validar sus planes de respuesta ante incidentes y copias de seguridad. Actuar hoy cierra la ventana de oportunidad de los atacantes y eleva significativamente la resiliencia operativa.
