Команда Google Threat Intelligence повідомляє про прицільну експлуатацію уразливості CVE-2025-12480 у Gladinet Triofox, яка дозволяє віддалене виконання коду (RCE) з привілеями SYSTEM без аутентифікації. Оцінка CVSS 9.1 відображає критичність наслідків: достатньо обійти логіку доступу, що помилково довіряє «локальному» джерелу.
Що сталося: логічний дефект доступу та довіра до localhost
Суть проблеми полягає у тому, що Triofox трактує частину запитів як адміністративні, якщо вони виглядають такими, що надходять із localhost. Зловмисники імітують локальне походження, маніпулюючи HTTP-заголовками (зокрема Host та Referer), і таким чином обходять парольну перевірку.
Ризик посилює конфігурація за замовчуванням: якщо параметр TrustedHostIp у web.config не визначено, то «локальність» стає фактично єдиним критерієм довіри. За такої схеми інстанси без додаткових бар’єрів верифікації залишаються відкритими для несанкціонованого доступу.
Ланцюжок атаки: від обходу входу до повної компрометації
Хоча виробник випустив виправлення у версії 16.7.10368.56560 (доступна з 26 липня), Google фіксує атаки на застарілі збірки. У серпні група UNC6485 скомпрометувала сервери Triofox версії 16.4.10317.56372, використавши обхід аутентифікації для підвищення привілеїв і набуття контролю на рівні системи.
Отримавши адміндоступ, зловмисники змінили конфігурацію вбудованого «антивірусного» механізму Triofox так, щоб замість легітимного сканера запускався їхній скрипт. Процес успадковував привілеї сервісу Triofox і виконувався від імені SYSTEM. Далі за допомогою PowerShell завантажувався інсталятор Zoho UEMS, розгорталися Zoho Assist та AnyDesk для віддаленого доступу й латерального переміщення, а для тунелювання трафіку та подальшої роботи через RDP використовувалися утиліти з сімейства PuTTY/Plink.
Статус виправлень і рекомендовані версії Triofox
Виробник включив патч для CVE-2025-12480 до збірки 16.7.10368.56560. Актуальною стабільною версією на момент публікації є 16.10.10408.56683 (реліз від 14 жовтня). За даними Google, дефект у виправлених версіях закрито; основна загроза походить від інстансів на вразливих релізах із налаштуваннями за замовчуванням.
Рекомендації з мінімізації ризиків
- Оновлення без зволікань: перейдіть щонайменше на 16.7.10368.56560, оптимально — на 16.10.10408.56683. Переконайтеся, що оновлені всі вузли кластера та допоміжні ролі.
- Коректна конфігурація доступу: визначте білий список у TrustedHostIp, не покладайтеся на «localhost» як ознаку довіри; ізолюйте адміністративні інтерфейси у внутрішні сегменти/VPN.
- Захист на периметрі: на WAF/реверс-проксі жорстко фіксуйте допустимі значення Host/Referer, відкидайте нетипові звернення до адмін-ендпоінтів, застосовуйте сувору перевірку X-Forwarded-* заголовків.
- Посилена аутентифікація: увімкніть MFA для адмінів, приберіть дефолтні обліковки, проводьте регулярний аудит прав і ролей.
- Контроль «вбудованого антивіруса»: перевірте шлях сканера, забороніть запуск скриптів із нестандартних каталогів, використовуйте білi списки застосунків та правила Attack Surface Reduction.
- Моніторинг і реагування: відстежуйте створення адмін-акаунтів, зміни конфігурацій AV, запуски PowerShell від імені сервісу Triofox, появу тунелів і нетипового RDP-трафіку; задійте EDR з правилами на аномалії процесів.
- Сегментація та мінімум привілеїв: обмежте доступ до RDP і засобів дистанційного керування, використовуйте jump-host, застосовуйте мережеві ACL та egress-контроль.
- Готовність до інцидентів: оновіть і протестуйте план IR, забезпечте резервне копіювання та відновлення, документуйте зміни конфігурацій.
Чому це важливо для команд кібербезпеки
Кейс CVE-2025-12480 демонструє системний ризик довіри до «локальності» запиту та маніпуляцій HTTP-заголовками. Логічні помилки контролю доступу здатні призводити до критичних наслідків без складних експлойтів: достатньо переконливо «виглядати» внутрішнім джерелом. Тому принцип нульової довіри, жорстка валідація заголовків і безпечні базові налаштування мають бути стандартом.
Організаціям варто негайно оновити Triofox до підтримуваної версії, провести експрес-аудит адмінобліковок і конфігурації вбудованого антивірусного механізму, а також обмежити доступ до адміністративних панелей на мережевому та прикладному рівнях. Чим швидше буде ліквідовано вразливі конфігурації, тим меншим буде «вікно можливостей» для зловмисників і пов’язані з компрометацією ризики простою.
