Исследователи Google сообщают о целевых атаках на уязвимость CVE-2025-12480 в Gladinet Triofox, позволяющую удалённое выполнение кода (RCE) с правами SYSTEM без аутентификации. Дефект оценён в 9,1 по шкале CVSS и связан с ошибкой логики контроля доступа, где запросам с адреса localhost ошибочно доверяют как административным.
Что происходит: обход аутентификации через доверие к localhost
Суть проблемы заключается в том, что Triofox трактует определённые запросы как административные, если они кажутся исходящими с локального хоста. По данным Google Threat Intelligence, злоумышленники подменяют заголовки HTTP (например, Host/Referer), имитируя локальный источник, и таким образом обходят проверку пароля.
Риск усугубляется конфигурацией по умолчанию: если необязательный параметр TrustedHostIp не задан в файле web.config, проверка «локальный = доверенный» становится единственным барьером. Это оставляет уязвимыми инсталляции, где дополнительные механизмы верификации не включены.
Активные атаки и цепочка компрометации
Google подтверждает выпуск исправления и закрытие проблемы в версии 16.7.10368.56560 (доступна с 26 июля). Тем не менее наблюдается эксплуатация устаревших сборок. В августе группа, идентифицированная как UNC6485, атаковала серверы Triofox версии 16.4.10317.56372, использовав обход аутентификации для эскалации привилегий и последующей полной компрометации системы.
Согласно анализу исследователей, после получения административного доступа злоумышленники модифицировали конфигурацию встроенного антивирусного механизма Triofox таким образом, чтобы запускался их собственный скрипт. Процесс наследовал привилегии сервиса Triofox и выполнялся в контексте SYSTEM. Далее применялись инструменты автоматизации: через PowerShell загружался инсталлятор Zoho UEMS, после чего развертывались Zoho Assist и AnyDesk для удалённого доступа и бокового перемещения; для туннелирования трафика использовались утилиты семейства PuTTY/Plink с целью последующей работы по RDP.
Статус исправлений и рекомендуемые версии
Производитель включил патч для CVE-2025-12480 в сборку 16.7.10368.56560, а актуальной стабильной версией на момент публикации является 16.10.10408.56683 (релиз от 14 октября). Исследователи Google подтвердили, что дефект закрыт. Эксплуатируются, главным образом, инстансы на уязвимых версиях с настройками по умолчанию.
Как снизить риски: проверенные меры защиты
- Немедленно обновиться как минимум до версии 16.7.10368.56560, оптимально — до 16.10.10408.56683. Убедиться, что все узлы кластера и вспомогательные роли обновлены.
- Правильно настроить доступ: определить белый список в TrustedHostIp, исключить слепое доверие «localhost», ограничить административные интерфейсы до сегментов внутренней сети/VPN.
- Гигиена заголовков и проксирование: на WAF/реверс-прокси жёстко фиксировать допустимые значения Host/Referer, отбрасывать аномальные/внешние обращения к админ‑эндпоинтам, включить строгую проверку X-Forwarded-* заголовков.
- Укрепить аутентификацию: включить MFA для администраторов, изменить и устранить дефолтные учётные данные, регулярно проводить аудит прав и ролей.
- Проверить интеграцию «встроенного антивируса»: удостовериться, что путь сканера указывает на легитимный исполняемый файл; запретить выполнение скриптов из нестандартных каталогов; включить белые списки приложений и правила сокращения поверхности атак (ASR).
- Мониторинг и реагирование: отслеживать создание новых админ‑аккаунтов, изменения конфигурации AV, запуск PowerShell/скриптов от имени сервиса Triofox, появление туннелей и нестандартного RDP‑трафика; задействовать EDR с правилами по аномалиям процессов.
- Сегментация и минимум привилегий: ограничить доступ к RDP и средствам удалённого администрирования, использовать jump‑host, применять сетевые ACL и правила egress‑контроля.
- Подготовка к инцидентам: валидировать план IR, проводить резервное копирование и периодические тесты восстановления, документировать цепочки изменений.
Почему это важно для ИБ-команд
Случай с CVE-2025-12480 подчёркивает системный риск доверия к «локальности» запроса и манипуляций HTTP‑заголовками. Ошибки логики доступа приводят к критическим последствиям даже без сложных эксплойтов: злоумышленнику достаточно корректно «выглядеть» как внутренний источник. Практики безопасной конфигурации, валидации заголовков и принцип нулевого доверия остаются ключевыми мерами.
Организациям рекомендуется оперативно обновить Triofox до последней версии, провести экспресс‑аудит администраторских учётных записей и настроек интегрированного антивируса, а также усилить контроль за заголовками и доступом к административным панелям. Чем быстрее будут закрыты уязвимые конфигурации, тем меньше окно возможностей для злоумышленников и связанного с компрометацией простоя.
