Googleは、脅威アクターがTriofoxの重大な脆弱性を悪用し、脆弱なサーバーへのリモートアクセスを取得した後、コード実行を達成したと警告しています。
GladinetのTriofoxは、リモートワークやデータ管理を容易にするために設計された、安全なファイル共有およびリモートアクセスソリューションで、既存のITインフラストラクチャと統合することができます。
バージョン16.7.10368.56560より前のTriofoxには、重大度の高い不適切なアクセス制御の脆弱性が存在し、攻撃者がセットアップ完了後でも初期設定ページにアクセスできてしまう問題がありました。
この問題はCVE-2025-12480(CVSSスコア9.1)として追跡されており、7月下旬にTriofoxのセットアップ完了後、初期設定ページへのアクセスを防止することで解決されました。
8月下旬、GoogleはUNC6485として追跡されている脅威アクターが、HTTP Hostヘッダー攻撃を用いて脆弱なTriofoxサーバーに対してこのセキュリティ欠陥を悪用し、新たな管理者アカウントを作成したことを確認しました。
脅威アクターは、Triofoxインストール後に自動的に起動されるAdminDatabase.aspxページへのHTTP GETリクエストを改ざんしました。そこから攻撃者はAdminAccount.aspxページにアクセスし、InitAccount.aspxページにリダイレクトされ、新しい管理者アカウントを作成しました。
この攻撃が可能だったのは、ASP.NETがHTTPホストヘッダー(脅威アクターが改ざん可能)を用いてRequest.Urlを構築し、Triofoxがリクエストがlocalhost接続から来ているかどうかを確認しておらず、ホストヘッダーのチェック以外に保護がなかったためです。
新しい管理者アカウントを作成した後、攻撃者はサーバーにログインし、ユーザーが任意のパスを指定できる組み込みのアンチウイルス機能を悪用して、System権限で悪意のあるファイルを実行しました。
Triofoxで新しい共有を公開すると、アプリケーションは共有フォルダのディスク上のパスを表示します。攻撃者は公開された共有に任意のファイルをアップロードし、アンチウイルスのパスをそのファイルに指定しました。
そのファイルは悪意のあるバッチスクリプトで、PowerShellコマンドを実行して、正規のZoho Unified Endpoint Management System(UEMS)ソフトウェアインストーラーのコピーと判明した第2段階のペイロードを取得・実行しました。このエージェントはZoho AssistおよびAnyDeskリモートアクセスツールの実行に使用されました。
UNC6485はZoho Assistを使用してアクティブなSMBセッションやユーザー情報を列挙し、既存アカウントのパスワード変更や、これらをローカルおよびドメイン管理者グループに追加しようとした形跡が確認されています。
さらに、脅威アクターは2つのユーティリティを展開し、SSH経由でコマンド&コントロール(C&C)サーバーへの暗号化トンネルを構築したとGoogleは説明しています。
Triofoxを利用している組織は、バージョン16.7.10368.56560以降へのアップデート、管理者アカウントの監査、Triofoxアンチウイルスエンジンに未承認のスクリプトやバイナリの実行を許可しないことを推奨します。
翻訳元: https://www.securityweek.com/critical-triofox-vulnerability-exploited-in-the-wild/
