- 21,983
- 46
- 8 Ноя 2022
Авторизация? Это пережиток прошлого, считают хакеры.
Специалисты Mandiant выявили активную эксплуатацию уязвимости нулевого дня в платформе удалённого доступа и обмена файлами Gladinet Triofox. Уязвимость CVE-2025-12480 позволяла обойти авторизацию и получить доступ к конфигурационным страницам веб-интерфейса, через которые атакующие создавали новые аккаунты администратора и загружали произвольные вредоносные файлы. Проблема была устранена в версии 16.7.10368.56560 , однако до этого момента уязвимость уже использовалась как минимум одной группировкой.
Активность с задействованием данной ошибки была зафиксирована 24 августа 2025 года. Ответственность за атаку приписывается кластеру UNC6485. Преступники не просто получали административный доступ, но и комбинировали его с уязвимым функционалом встроенного антивируса, через который исполняли произвольный код от имени SYSTEM.
Обнаружение атаки началось с автоматического оповещения в системе, которая зафиксировала загрузку сторонних утилит и работу в системных директориях. Через 16 минут специалисты Mandiant подтвердили угрозу, изолировали хост и установили, что Triofox допускает обход авторизации через подделку заголовка Host. Если в запросе указать «localhost», сервер автоматически предоставлял доступ к AdminDatabase.aspx — странице первичной настройки, предназначенной только для локальных инсталляций.
Через эту страницу атакующие инициировали повторный запуск мастера установки и создавали полноценный системный аккаунт администратора под именем Cluster Admin. Такой доступ позволял полностью контролировать приложение и переходить к следующей стадии — загрузке вредоносных скриптов через механизм антивирусной проверки.
По архитектуре Triofox пользователь может задать произвольный путь до исполняемого файла, обозначенного как антивирусный движок. Загруженный скрипт затем вызывается с привилегиями родительского процесса, что даёт полный доступ к системе. Злоумышленники использовали эту особенность, чтобы запустить файл centre_report.bat, который через PowerShell скачивал следующий этап атаки — инсталлятор Zoho UEMS под видом ZIP-архива. После установки легитимного UEMS-агента они внедряли Zoho Assist и AnyDesk, закрепляясь на целевой системе.
Через удалённый доступ атакующие выполняли команды сбора информации: просмотр SMB-сессий, анализ пользователей, попытки смены паролей и добавления учётных записей в группы локальных и доменных администраторов. Для скрытого канала связи они загружали на сервер легитимные утилиты PuTTY и Plink (под именами silcon.exe и sihosts.exe), через которые открывали зашифрованный SSH-туннель на внешний C2-сервер. Этот канал позволял прокидывать RDP-трафик через порт 3389, обеспечивая полноценный удалённый контроль над заражённой машиной.
Анализ уязвимости показал, что основная проверка доступа реализована в методе <code>CanRunCriticalPage()</code> библиотеки GladPageUILib.dll. Если заголовок Host содержит «localhost», проверка доверенных IP-адресов в конфигурации игнорируется, и доступ к критическим страницам предоставляется автоматически. Таким образом, отсутствие валидации источника запроса и зависимость от корректной настройки конфигурации создавали условия для атаки без аутентификации.
Mandiant рекомендует обновить Triofox до последней версии, провести аудит всех учётных записей администратора и убедиться, что путь к антивирусному движку не указывает на сторонние исполняемые файлы. Также советуется проанализировать трафик на предмет аномальной SSH-активности.
Специалисты Mandiant выявили активную эксплуатацию уязвимости нулевого дня в платформе удалённого доступа и обмена файлами Gladinet Triofox. Уязвимость CVE-2025-12480 позволяла обойти авторизацию и получить доступ к конфигурационным страницам веб-интерфейса, через которые атакующие создавали новые аккаунты администратора и загружали произвольные вредоносные файлы. Проблема была устранена в версии 16.7.10368.56560 , однако до этого момента уязвимость уже использовалась как минимум одной группировкой.
Активность с задействованием данной ошибки была зафиксирована 24 августа 2025 года. Ответственность за атаку приписывается кластеру UNC6485. Преступники не просто получали административный доступ, но и комбинировали его с уязвимым функционалом встроенного антивируса, через который исполняли произвольный код от имени SYSTEM.
Обнаружение атаки началось с автоматического оповещения в системе, которая зафиксировала загрузку сторонних утилит и работу в системных директориях. Через 16 минут специалисты Mandiant подтвердили угрозу, изолировали хост и установили, что Triofox допускает обход авторизации через подделку заголовка Host. Если в запросе указать «localhost», сервер автоматически предоставлял доступ к AdminDatabase.aspx — странице первичной настройки, предназначенной только для локальных инсталляций.
Через эту страницу атакующие инициировали повторный запуск мастера установки и создавали полноценный системный аккаунт администратора под именем Cluster Admin. Такой доступ позволял полностью контролировать приложение и переходить к следующей стадии — загрузке вредоносных скриптов через механизм антивирусной проверки.
По архитектуре Triofox пользователь может задать произвольный путь до исполняемого файла, обозначенного как антивирусный движок. Загруженный скрипт затем вызывается с привилегиями родительского процесса, что даёт полный доступ к системе. Злоумышленники использовали эту особенность, чтобы запустить файл centre_report.bat, который через PowerShell скачивал следующий этап атаки — инсталлятор Zoho UEMS под видом ZIP-архива. После установки легитимного UEMS-агента они внедряли Zoho Assist и AnyDesk, закрепляясь на целевой системе.
Через удалённый доступ атакующие выполняли команды сбора информации: просмотр SMB-сессий, анализ пользователей, попытки смены паролей и добавления учётных записей в группы локальных и доменных администраторов. Для скрытого канала связи они загружали на сервер легитимные утилиты PuTTY и Plink (под именами silcon.exe и sihosts.exe), через которые открывали зашифрованный SSH-туннель на внешний C2-сервер. Этот канал позволял прокидывать RDP-трафик через порт 3389, обеспечивая полноценный удалённый контроль над заражённой машиной.
Анализ уязвимости показал, что основная проверка доступа реализована в методе <code>CanRunCriticalPage()</code> библиотеки GladPageUILib.dll. Если заголовок Host содержит «localhost», проверка доверенных IP-адресов в конфигурации игнорируется, и доступ к критическим страницам предоставляется автоматически. Таким образом, отсутствие валидации источника запроса и зависимость от корректной настройки конфигурации создавали условия для атаки без аутентификации.
Mandiant рекомендует обновить Triofox до последней версии, провести аудит всех учётных записей администратора и убедиться, что путь к антивирусному движку не указывает на сторонние исполняемые файлы. Также советуется проанализировать трафик на предмет аномальной SSH-активности.
- Источник новости
- www.securitylab.ru
