Добавить в корзинуПозвонить
Найти в Дзене
avencores.
526 подписчиков

Triofox: Как уязвимость CVE-2025-12480 с заголовком "Host: localhost" давала полный доступ администратора (CVSS 9.1)

3
2 мин
Классическая история о том, как одна-единственная строчка кода, основанная на слепом доверии, ведет к полной компрометации. Исследователи из Mandiant раскопали очередную критическую уязвимость (CVE-2025-12480) в платформе для файлового обмена Triofox (разработка Gladinet), которая также затрагивает продукт CentreStack. Уязвимость получила оценку 9.1 (Критическая) по шкале CVSS. Она позволяла любому желающему получить права администратора, а затем выполнить код с высочайшими привилегиями. Вся магия заключалась в одной строчке кода и одном HTTP-заголовке. Уязвимость представляла собой некорректный контроль доступа (Improper Access Control), позволяющий получить доступ к критически важной странице начальной настройки AdminDatabase.aspx даже после завершения установки системы. * Условие уязвимости: Доступ к странице контролировался функцией, которая проверяла, равен ли заголовок Host в HTTP-запросе значению `localhost`. * Эксплуатация: Атакующему, которого Mandiant отслеживает под кластеро
Оглавление

Классическая история о том, как одна-единственная строчка кода, основанная на слепом доверии, ведет к полной компрометации.

Исследователи из Mandiant раскопали очередную критическую уязвимость (CVE-2025-12480) в платформе для файлового обмена Triofox (разработка Gladinet), которая также затрагивает продукт CentreStack. Уязвимость получила оценку 9.1 (Критическая) по шкале CVSS. Она позволяла любому желающему получить права администратора, а затем выполнить код с высочайшими привилегиями.

Механизм обхода аутентификации

Вся магия заключалась в одной строчке кода и одном HTTP-заголовке. Уязвимость представляла собой некорректный контроль доступа (Improper Access Control), позволяющий получить доступ к критически важной странице начальной настройки AdminDatabase.aspx даже после завершения установки системы.

* Условие уязвимости: Доступ к странице контролировался функцией, которая проверяла, равен ли заголовок Host в HTTP-запросе значению `localhost`.

* Эксплуатация: Атакующему, которого Mandiant отслеживает под кластером UNC6485, достаточно было подменить заголовок Host: your-server.com на `Host: localhost`, чтобы система посчитала его локальным и выдала полный неаутентифицированный доступ к страницам конфигурации.

Повышение привилегий и RCE

Получив доступ к странице первоначальной настройки, атакующий первым делом создавал себе новую учетную запись администратора кластера.

Далее в дело вступала вторая особенность Triofox — возможность указать путь к исполняемому файлу антивируса для проверки загружаемых файлов.

* RCE (удаленное выполнение кода): Атакующий, уже будучи админом, прописывал в поле пути к антивирусу путь к своему вредоносному .bat-скрипту (например, `centre_report.bat`), который он предварительно загрузил на сервер.

* Привилегии SYSTEM: Когда администратор загружал любой файл, система запускала указанный «антивирусный» скрипт с привилегиями SYSTEM (наивысшие права в Windows), что приводило к полному компрометированию сервера.

Пост-эксплуатация

Дальше UNC6485 действовал по классическому сценарию:

1. Через PowerShell скачивался легитимный агент Zoho UEMS (Unified Endpoint Management and Security).

2. На сервер устанавливались инструменты удаленного доступа, такие как AnyDesk и переименованный Plink (ssh-клиент, переименованный в `sihosts.exe` для маскировки).

3. Поднимался обратный SSH-туннель для проброса RDP на машину атакующего.

Статус и меры защиты

Уязвимость затрагивает версии Triofox до 16.7.10368.56560. Компания Gladinet выпустила исправление в июне, однако Mandiant зафиксировали активную эксплуатацию неподготовленных систем группировкой UNC6485, начиная с августа.

Рекомендации: Немедленно обновите Triofox до версии 16.7.10368.56560 или выше и проведите аудит административных учетных записей.

⬇️Поддержать автора⬇️

✅SBER: 2202 2050 7215 4401