Поделиться
«Дыра» в файлообменнике Triofox позволяет запускать произвольный код. Она уже эксплуатируется
В одной из критических функций Triofox отсутствовала проверка сетевого источника. Вдобавок путь к антивирусному компоненту файлообменнеой платформы легко подменялся произвольным. Пользователям Triofox рекомендовано срочно обновиться до последней версии.
Безымянная угроза
Критическая уязвимость в файлообменной платформе Gladinet Triofox позволяет запускать произвольный код с максимальными привилегиями, и с конца лета 2025 г. активно эксплуатируется.
Об этом говорится в отчёте фирмы Mandiant (подразделение Google). По данным исследователей, за атаками стоит APT-кластер UNC6485. UNC в номенклатуре Google Threat Intelligence Group означает некатегоризированный источник киберугроз, то есть, грубо говоря, речь идёт о неизвестной величине, атрибуция которой затруднена или невозможна. Смысл такого подхода состоит в том, чтобы оперативно распространять информацию о зафиксированных атаках определённой методологии.
Эксплуатация уязвимости, как установили исследователи, довольно проста и чрезвычайно эффективна. Атакующим потребовалось всего лишь поменять HTTP-заголовки в запросах к платформе на значение localhost, и это позволило им обойти аутентификацию. Фактически злоумышленники сразу получили полный доступ к страницам настроек системы.
Уязвимость связана с отсутствием в функции CanRunCriticalPage() проверки источника сетевого запроса: и значение localhost принималось как локальное, откуда бы ни исходило.
Получив нужный доступ, операторы UNC6485 создавали новый административный аккаунт под названием Cluster Admin. А затем использовали вторую уязвимость, на этот раз связанную со встроенным антивирусным сканнером.
Как оказалось, путь к антивирусному инструменту при наличии административного аккаунта можно подменить на любой произвольный. Что злоумышленники и делали. И Triofox безо всяких вопросов осуществляла запуск подставленного исполняемого файла - в данном случае, вредоносного скрипта, - с системными привилегиями.
«Речь идёт о наиболее неприятном сценарии, с точки зрения кибербезопасности: когда защитный инструмент превращается в свою полную противоположность и используется для вторжения, - говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. - Известно, что это уже третья эффективно эксплуатируемая уязвимость в продуктах Triofox с начала года, а это свидетельствует о том, что злоумышленники будут усиленно искать - и находить, скорее всего, - новые «баги» в платформе».
Подозрительный доступ
В конечном счёте операторы понаставили на целевые системы сразу множество средств удалённого доступа, в том числе Zoho Remote Access, AnyDesk, а также SSH-утилиты Plink и PuTTy.
Благодаря этому хакеры установили постоянный шифрованный канал соединения между скомпрометированными систеами и контрольным сервером, и предприняли попытки произвести дальнейшую разведку и повысить системные привилегии.
Но тут положение спасла платформа Google Security Operations: эксперты Mandiant обнаружили признаки вторжения уже через 16 минут после их начала. В числе этих признаков оказались атипичная активность вокруг файлов во временных каталога, аномальные HTTP-логи (где как раз подозрение вызвали внешние запросы с localhost в заголовках) и появление утилит для удалённого доступа.
Уязвимость в итоге получила индекс CVE-2025-12480 и оценку 9,8 баллов по шкале CVSS (что соответствует практически максимальному значению критичности).
Пользователям Triofox рекомендовано срочно обновиться до версии 16.7.10368.56560, в которой указанная уязвимость отсутствует.
Поделиться
Короткая ссылка
