Critical Triofox Zero-Day (CVE-2025-12480) Under Active Exploit: Host Header Bypass Allows Unauthenticated Admin Takeover
漏洞概述
Google Cloud Security Operations旗下的Mandiant Threat Defense研究人员披露,Gladinet的Triofox文件共享平台中存在一个严重的未授权访问漏洞,已被追踪为UNC6485的威胁组织积极利用。该漏洞现已被修补为CVE-2025-12480,允许攻击者绕过身份验证、创建管理员账户,并通过链式攻击路径实现SYSTEM级代码执行。
攻击时间线
该利用活动最早于2025年8月24日被发现,当时Google威胁情报组(GTIG)观察到UNC6485利用Triofox漏洞并结合滥用产品的内置防病毒功能。
Mandiant写道:“早在2025年8月24日,被Google威胁情报组追踪为UNC6485的威胁集群就利用了未授权访问漏洞,并将其与内置防病毒功能的滥用链接起来以实现代码执行。”
受影响版本
攻击者专门针对Triofox版本16.4.10317.56372,该版本在问题于版本16.7.10368.56560中得到缓解之前一直存在漏洞。
Mandiant确认Gladinet已发布修复程序,并"验证了此漏洞在新版Triofox中已解决。"
攻击检测与分析
Mandiant的Google安全运营(SecOps)平台检测到异常活动,表明Triofox服务器可能被利用。分析师发现了远程访问工具部署、RDP隧道以及在系统目录(如C:\Windows\Temp)中的可疑文件活动。
报告称:“在开始调查的16分钟内,Mandiant确认了威胁并启动了对主机的遏制。”
攻击技术细节
在调查期间,分析师发现UNC6485利用该漏洞获得了对AdminDatabase.aspx配置页面的访问权限——该页面通常仅在初始软件设置期间可访问。从那里,攻击者创建了一个名为Cluster Admin的新管理账户来执行后期利用活动。
CVE-2025-12480的根本原因是Triofox Web界面中访问控制检查的不安全实现。Mandiant发现,只需将HTTP Host头欺骗为"localhost",即可授予对关键配置页面的访问权限,欺骗应用程序认为请求是本地的。
Mandiant解释说:“将Host值更改为localhost可授予对AdminDatabase.aspx页面的访问权限,“确认这绕过了所有身份验证检查。
代码分析显示,控制访问的函数CanRunCriticalPage()未能验证请求来源,仅依赖于Request.Url.Host的值。
Mandiant写道:“代码存在多个漏洞:主机头攻击——ASP.NET从HTTP Host头构建Request.Url,攻击者可修改此头;无来源验证——未检查请求是来自实际的localhost连接还是欺骗头。”
此设计缺陷有效地允许未经身份验证的攻击者远程运行设置过程,绕过了通常将这些页面限制在本地安装的安全控制。
权限提升与持久化
进入系统后,攻击者使用新创建的管理员账户利用Triofox的防病毒配置功能——这是一个合法功能,允许管理员定义自定义防病毒引擎路径。
通过将此路径配置为指向恶意批处理脚本,攻击者实现了以SYSTEM身份执行代码,这是Windows系统上的最高权限级别。
这种滥用允许对手执行任意命令并将其他有效负载直接投放到受感染的服务器上。
Mandiant观察到威胁参与者通过其恶意批处理文件执行PowerShell命令,下载并执行伪装成合法软件安装程序的第二阶段有效负载:
|
|
该有效负载是合法的Zoho统一端点管理系统(UEMS)安装程序,攻击者使用它在受害机器上部署Zoho Assist和AnyDesk远程访问工具。
建立远程访问后,攻击者使用PuTTY和Plink创建SSH隧道,通过端口433上的加密通道重定向RDP流量。
Mandiant指出,这种技术能够实现隐蔽持久化并绕过网络边界控制。
报告称:“这些工具用于设置加密隧道,通过SSH在端口433上将受感染主机连接到其命令和控制(C2)服务器。C2服务器随后可以转发所有流量……允许入站RDP流量。”