CVE-2025-12480检测：攻击者利用Gladinet Triofox中现已修复的未授权访问控制漏洞

检测CVE-2025-12480利用尝试

网络犯罪分子越来越多地利用漏洞作为入侵系统的主要入口。ENISA的《2025年威胁态势报告》显示，漏洞利用占初始访问向量的五分之一以上（21.3%），其中68%的事件随后部署了恶意软件。结合NIST今年记录的超过42,000个新漏洞，这些趋势说明网络安全团队面临着持续的压力。每个未修补的系统都是潜在的入口点，使得早期检测对于防止大规模入侵至关重要。

最近在Gladinet的Triofox中发现的CVE-2025-12480漏洞凸显了这一日益增长的威胁，强调了主动防御对于领先于现代攻击的重要性。

立即注册SOC Prime平台，访问大量精选的检测内容和AI原生威胁情报，帮助您的团队应对利用CVE-2025-12480的攻击活动。按下下方的"探索检测"按钮，直接进入相关检测堆栈。

探索检测

此外，您可以使用"UNC6485"标签搜索更多涉及这些攻击背后威胁集群活动的对手TTP内容。为了获得更广泛的漏洞利用检测SOC内容，安全工程师还可以应用"CVE"标签。

所有规则都与多个SIEM、EDR和数据湖格式兼容，并映射到MITRE ATT&CK®框架。此外，每条规则都丰富了CTI链接、攻击时间线、审计配置、分类建议等更多相关上下文。

安全工程师还可以利用Uncoder AI，这是一个用于检测工程的IDE和协同工具。借助Uncoder，防御者可以即时将IOC转换为自定义狩猎查询，根据原始威胁报告编写检测代码，生成攻击流程图，启用ATT&CK标签预测，利用AI驱动的查询优化，并在多个平台之间转换检测内容。例如，网络防御者可以在几秒钟内基于Google Mandiant的最新研究生成攻击流程图。

CVE-2025-12480分析

2025年11月10日，Google的Mandiant威胁防御部门发布了对CVE-2025-12480（CVSS评分9.1）的深入分析，这是Gladinet Triofox文件共享和远程访问平台中的一个零日漏洞。该漏洞早在2025年8月24日就被追踪为UNC6485的黑客组织积极利用，允许攻击者绕过认证并以系统级权限执行恶意代码。

Mandiant研究人员报告称，UNC6485利用Triofox中的CVE-2025-12480漏洞访问受保护的配置页面。攻击者使用这些页面通过设置过程创建了一个名为Cluster Admin的本机管理员账户。然后利用这个新账户通过平台的防病毒功能上传并执行恶意文件。

防病毒功能允许用户为选定的防病毒软件指定任意路径。由于此配置进程在SYSTEM账户下运行，攻击者可以以完全系统权限执行任意脚本。在这种情况下，对手使用了批处理脚本centre_report.bat，该脚本从84.200.80[.]252下载了Zoho Unified Endpoint Management System (UEMS)安装程序，并部署了Zoho Assist和AnyDesk等远程访问工具。

攻击始于对HTTP主机头的巧妙操纵。通过将主机头更改为"localhost"，攻击者滥用了CanRunCriticalPage()函数，该函数在没有验证请求来源的情况下不当信任了HTTP主机。这允许远程访问本应受限制的页面，并伪造攻击者的源IP地址。一旦获得访问权限，攻击者就使用Cluster Admin账户通过防病毒配置路径执行恶意脚本。

为了逃避检测，UNC6485下载了Plink和PuTTY等工具，通过端口433与命令与控制（C2）服务器建立加密SSH隧道，最终启用入站RDP流量以实现持久远程访问。

该漏洞影响Triofox v16.4.10317.56372，并已在v16.7.10368.56560中修复。强烈建议用户立即升级到修补版本。CVE-2025-12480的缓解措施还包括审计所有管理员账户以查找未经授权的条目，审查和验证防病毒配置，并监控异常的出站SSH流量以检测任何正在进行的入侵。此外，为了领先于攻击者并主动检测潜在的漏洞利用尝试，安全团队可以依赖SOC Prime的完整产品套件，该套件由AI、自动化能力和实时威胁情报支持，同时大规模加强组织的防御能力。