Gladinet Triofoxに存在する重大なリモートコード実行(RCE)脆弱性が、現在脅威アクターによって積極的に悪用されています。さらにセキュリティ研究者は、この欠陥を武器化するには当初の分析が示唆していたよりもはるかに高度な技術が必要であることを実証しました。
CVE-2025-12480は、UNC6485によって追跡されており、複数のインフラ上の課題と技術的ハードルを攻撃者が乗り越えて完全なシステム侵害を達成する必要がある、複雑な攻撃チェーンを表しています。
この脆弱性は、Triofoxの管理インターフェースにおけるHostヘッダー検証の不備に起因します。開発者は、リクエストが実際にlocalhostから発生したかどうかを検証せず、Hostヘッダーに「localhost」が含まれているかどうかだけを確認していました。
この認証バイパスにより、攻撃者はデータベースのリセットや管理者アカウント作成インターフェースなど、ローカルシステム設定専用に設計されたページへアクセスできてしまいます。
VulnCheckのInitial Access Intelligenceチームは、ゼロデイ悪用の経路を再現し、実際の攻撃者の手法を反映した実用的なエクスプロイトを作成しました。
この研究は、事後分析では単純に見えるものが、実際の攻撃中に攻撃者が乗り越えなければならない大きな複雑性を覆い隠していることを明らかにしています。
完全な悪用チェーンでは、初期アクセスからリモートコード実行に至るまでに26回を超えるHTTPリクエストが必要です。
Gladinet Triofoxのゼロデイ脆弱性
攻撃は、localhostヘッダーバイパスを用いてAdminDatabase.aspxページへ到達するところから始まります。しかし研究者は重大な制約を発見しました。対象システムがTriofoxの既定の組み込みデータベースを使用している場合、データベース設定を単にリセットしても、攻撃者は管理者資格情報をリセットできません。
コード実行を達成するため、攻撃者は新規作成したAdminアカウントでログインしました。攻撃者は組み込みのアンチウイルス機能を利用して実行させるため、悪意あるファイルをアップロードしました。
この脆弱性の悪用には、外部データベース構成を使用しているシステムを狙うか、攻撃者が制御するデータベース基盤を展開する必要があります。
VulnCheckはエクスプロイトでこの問題を解決するため、Goのembedded-postgresパッケージを用いてPostgreSQLサーバー構成一式を組み込み、外部インフラのセットアップを不要にして攻撃を効率化しました。
データベースアクセスを確立した後、攻撃者は新しい管理者資格情報を作成し、複数のASP.NET状態遷移を経て管理コンソールへ到達します。次の重要な段階は、ファイルアップロード機能を確立することです。
Triofoxの既定の共有作成メカニズムには障害があり、昇格した権限または設定済みの資格情報が必要になります。
VulnCheckの分析では、文書化されていない「Personal Home Drives」機能を悪用すると、認証なしでシステムディレクトリへの書き込みアクセスを設定でき、これらの制限を完全に回避できることが分かりました。
ファイルアップロード機能が確立されると、エクスプロイトはVisual Basicのリバースシェル・ペイロードを作成し、実行をトリガーするためのバッチファイルと併せてアップロードします。
緩和策
最終段階ではTriofoxのアンチウイルス設定インターフェースを悪用し、ESETのコマンドラインパラメータを改変して、アンチウイルススキャン実行時に攻撃者の悪意あるファイルを実行させます。
その後、UIの「My Files」ページにアクセスすると、Windowsドライブへの権限が付与されていることが確認でき、テストの結果、想定どおりの書き込みおよびファイル作成権限があることが分かります。
26回の連続リクエストにわたってASP.NETアプリケーションの状態を管理することは、特に困難であることが判明しました。各リクエストでは、アプリケーションの挙動を制御するViewState変数を解析し、維持する必要があります。
VulnCheckは、go-exploitフレームワーク内に自動化されたASP.NET状態ヘルパーを開発することでこれに対処し、手動での状態追跡の負担を軽減して、信頼性の高いエクスプロイト実行を可能にしました。
この悪用は、見かけ上の技術的制約があるにもかかわらず、現実世界の攻撃が成功する理由を示しています。
攻撃者は複数のインフラ上の課題を解決し、文書化されていないアプリケーション機能を理解し、多数のWebリクエストにわたって状態の整合性を維持しなければなりません。
最終的なエクスプロイトは、Windowsシステム上で最高権限レベルであるSYSTEMとして、認証なしのリモートコード実行を達成しました。
この脆弱性は、公に出回るセキュリティ分析が攻撃の複雑性をしばしば過度に単純化してしまうことを示す好例です。
Mandiantの初期開示は有用な検知ガイダンスを提供しましたが、実際の悪用経路には、開示内容よりもはるかに多くの技術的課題と判断ポイントが含まれています。
セキュリティチームは、一見すると単純な脆弱性であっても、効果的に武器化するには相当な攻撃者の高度さが必要になり得ることを認識すべきです。これは、包括的な脆弱性評価と、悪用が広範化する前の迅速なパッチ適用の重要性を改めて強調しています。
Gladinet Triofoxを運用している組織は、CVE-2025-12480を修正し、ファイル共有およびリモートアクセス基盤が侵害される可能性を防ぐため、直ちにパッチ適用を最優先すべきです。
翻訳元: https://gbhackers.com/gladinet-triofox-0-day/
