VulnCheckおよびMandiantの調査によると、Gladinetの Triofox ファイル共有/リモートアクセスプラットフォームで新たに発見されたゼロデイ脆弱性( CVE‑2025‑12480 として追跡)が、UNC6485と特定された脅威グループにより実際の攻撃で悪用されている。
重大(クリティカル)と評価されたこの欠陥により、攻撃者は複雑なWebリクエストの連鎖を通じて、認証不要のリモートコード実行(RCE)を行い、脆弱なサーバー上で SYSTEMレベルのアクセス を取得できる。
この脆弱性は、リモート攻撃者がlocalhostになりすまして Triofoxの初期設定ページ にアクセスできるようになる ローカルホストのHostヘッダーインジェクション 問題に起因する。
通常はローカル管理者向けに限定されているこれらのページでは、データベースのセットアップや管理者アカウントの初期化が可能である。
この欠陥を悪用することで、脅威アクターは AdminDatabase.aspx 、 AdminAccount.aspx 、および InitAccount.aspx といったエンドポイントを通じて新しい管理者アカウントを作成できる。
VulnCheckの研究者は、Mandiantが説明した悪用経路を再現し、公表されている要約が示すよりもはるかに複雑であることを確認した。
この攻撃には 20件以上の連鎖したHTTPリクエスト が含まれ、各ステップで __VIEWSTATE などの複雑な ASP.NETの状態変数 が維持される。
これらのリクエストはセットアップのワークフローを進めるために不可欠であり、最終的に管理者のアクセス制御および設定変更へと至る。
攻撃を完全にエミュレートするため、VulnCheckチームはGoの embedded-postgres ライブラリを用い、エクスプロイト内に PostgreSQLサーバー 全体を組み込んだ。
これにより、管理者の再初期化プロセス中に使用される不正なデータベースサーバーを提供できるという攻撃者の 能力が再現された。
チームの分析はまた、痕跡を残したりアプリケーションの機能を妨げたりしないために、Triofoxの設定状態を精密に扱うことが悪用に必要であることも確認した。
管理者権限を得た後、攻撃者は Triofoxに組み込まれたアンチウイルス設定 を悪用してリモートコードを実行した。
管理パネルを使用して悪意のあるスクリプトファイルをアップロードし、アンチウイルスのスキャンパラメータを変更してこれらのペイロードを指すようにした。アップロードされたファイルをスキャンすることを目的としたこの機能が、コマンド実行のベクターとして悪用された。
VulnCheckが作成した概念実証(PoC)エクスプロイトは、Triofoxバージョン16.4.10317.56372で SYSTEMアクセス の取得に成功し、同一の攻撃経路が再現可能であることを確認した。
研究者らは、侵害後の要約ではプロセスが単純化されがちだが、CVE‑2025‑12480の現実世界での悪用には、 高度な状態管理、独自インフラの構築、そして多段階のWebインタラクション が必要だと強調している。
Gladinetはその後、この欠陥に対処するパッチをリリースしており、ユーザーには直ちにシステムを更新し、侵害の兆候がないか確認することが強く推奨される。
翻訳元: https://cyberpress.org/gladinet-triofox-0-day-vulnerability/