هکرها در حال سوءاستفاده n-day از آسیبپذیری حیاتی وصله شده با شناسه CVE-2025-12480 (امتیاز CVSS: 9.1) و ویژگی داخلی آنتیویروس در پلتفرم اشتراکگذاری فایل و دسترسی از راه دور Triofox شرکت Gladinet جهت اجرای کد از راه دور با سطوح دسترسی SYSTEM سوءاستفاده کردند.
این آسیبپذیری حیاتی به مهاجم اجازه میدهد تا با عبور از احراز هویت، به صفحات راهاندازی و پیکربندی برنامه مورد استفاده دسترسی پیدا کند که منجر به آپلود و اجرای پیلودهای داده دلخواه میشود. علت اصلی CVE-2025-12480 شکاف منطقی کنترل دسترسی است که در آن دسترسی ادمین زمانی اعطا میشود که میزبان URL درخواست برنامه برابر با “localhost” باشد. این امر به مهاجمان اجازه میدهد تا این مقدار را از طریق هدر HTTP Host جعل کرده و تمام بررسیهای احراز هویت را دور بزنند.
تیم Mandiant گوگل اعلام کرد که از ۲۴ آگوست ۲۰۲۵، تقریباً یک ماه پس از انتشار وصلههای Gladinet برای این نقص در نسخه 16.7.10368.56560، گروه تهدید UNC6485 از این نقص سوءاستفاده کرده است. این مورد، سومین نقص در Triofox است که در سال جاری پس از CVE-2025-30406 و CVE-2025-11371 تحت اکسپلویت فعال قرار گرفته است. نفوذگران از آسیبپذیری دسترسی غیرمجاز برای دسترسی به صفحات پیکربندی استفاده کرده و سپس با اجرای فرآیند راهاندازی از آنها برای ایجاد حساب کاربری ادمین بومی جدید Cluster Admin، استفاده کرده است. حساب کاربری تازه ایجاد شده متعاقباً برای انجام فعالیتهای بعدی مورد استفاده قرار گرفته است.
برای اجرای کد، مهاجم با استفاده از حساب کاربری ادمین تازه ایجاد شده وارد سیستم شد. مهاجم فایلهای مخرب را بارگذاری کرد تا آنها را با استفاده از ویژگی آنتیویروس داخلی اجرا کند. برای راهاندازی ویژگی آنتیویروس به کاربر اجازه داده میشود مسیر دلخواهی را برای آنتیویروس انتخاب شده ارائه دهد. فایل پیکربندی شده به عنوان محل اسکنر آنتیویروس، سطوح دسترسی حساب فرآیند والد Triofox را به ارث میبرد و تحت چارچوب حساب SYSTEM اجرا میشود. عوامل تهدید همچنین ابزارهای Plink و PuTTY را برای ایجاد یک تونل SSH و ارسال ترافیک از راه دور به پورت RDP میزبان (3389) دانلود و استفاده کردند.
https://www.bleepingcomputer.com/news/security/hackers-abuse-triofox-antivirus-feature-to-deploy-remote-access-tool/
https://thehackernews.com/2025/11/hackers-exploiting-triofox-flaw-to.html
