ハッカーは、GladinetのTriofoxファイル共有およびリモートアクセスプラットフォームにおける重大な脆弱性と組み込みのアンチウイルス機能を悪用し、SYSTEM権限でリモートコード実行を実現しました。

攻撃で利用されたセキュリティ問題はCVE-2025-12480であり、認証をバイパスしてアプリケーションのセットアップページにアクセスするために使用できます。

CVE-2025-12480の根本原因は、アプリケーションのリクエストURLホストが「localhost」と等しい場合に管理者アクセスが許可されるアクセス制御ロジックのギャップです。

これにより、攻撃者はHTTP Hostヘッダーを使ってこの値を偽装し、すべての認証チェックをバイパスできます。

Mandiantによると、web.configでオプションのTrustedHostIpパラメータが設定されていない場合、「localhost」チェックが唯一のゲートキーパーとなり、デフォルトインストールでは認証されていないアクセスにさらされます。

CVE-2025-12480の修正は、7月26日にリリースされたTriofoxバージョン16.7.10368.56560で提供され、GTIGの研究者はベンダーとともにこの脆弱性が修正されたことを確認しました。

アンチウイルス機能の悪用

Mandiantの調査によると、UNC6485はHTTP Referer URLにlocalhostを含むHTTP GETリクエストを送信することで脆弱性を悪用しました。

「外部ソースから発信されたリクエストにlocalhostホストヘッダーが存在することは非常に異常であり、通常は正当なトラフィックでは想定されません」と研究者は説明しています。

これにより、彼らはTriofoxのインストール後にセットアップするためのAdminDatabase.aspx設定ページにアクセスできました。

セットアップワークフローを利用して、攻撃者は「Cluster Admin」という新しい管理者アカウントを作成し、それを使って悪意のあるスクリプトをアップロードしました。その後、Triofoxのアンチウイルススキャナーの場所としてそのパスを設定しました。

GTIGによると、「アンチウイルススキャナーの場所として設定されたファイルは、Triofoxの親プロセスアカウント権限を継承し、SYSTEMアカウントのコンテキストで実行されるため、攻撃者はコード実行を達成できます」と説明しています。

研究者によれば、悪意のあるバッチはPowerShellダウンローダーを実行し、外部アドレスから別のペイロードであるZoho UEMSインストーラーを取得しました。

Zoho UEMSは、Zoho AssistおよびAnyDeskを侵害されたホストに展開するために使用され、これらはリモートアクセスや横方向移動の操作に利用されました。

攻撃者はまた、PlinkおよびPuTTYツールをダウンロードして使用し、SSHトンネルを作成してリモートトラフィックをホストのRDPポート（3389）に転送しました。

Mandiantは、悪用された脆弱性（CVE-2025-12480）がTriofox 16.7.10368.56560で修正されたことを確認しましたが、システム管理者には10月14日にリリースされたバージョン16.10.10408.56683に含まれる最新のセキュリティアップデートを適用することを推奨しています。

もう一つの推奨事項は、管理者アカウントの監査を行い、Triofoxのアンチウイルスエンジンが許可されていないスクリプトやバイナリを実行するように設定されていないことを確認することです。

GTIGのレポートは、これらの攻撃を阻止するための侵害指標（IoC）のリストを提供しています。詳細はVirusTotalでも確認できます。

先月、Huntressは、ハッカーがGladinet CentreStackおよびTriofox製品のゼロデイローカルファイルインクルージョン脆弱性（CVE-2025-11371）を悪用し、認証なしでシステムファイルにアクセスしていたと報告しました。

この脆弱性は、企業ネットワークへの少なくとも3件の侵入に利用されており、1週間後に修正されました（最新バージョン16.10.10408.56683）。