La solución Triofox de Gladinet, una plataforma de acceso remoto y compartición de archivos presenta una vulnerabilidad crítica de control de acceso (CVE-2025-12480, CVSS 9.1). Esta falla permite que un atacante no autenticado obtenga privilegios de administración y ejecute código con privilegios SYSTEM. La explotación fue detectada en entornos reales por Mandiant (cluster “UNC6485”) desde el 24 de agosto de 2025.
CVE-2025-12480: Bypass de Autenticación y RCE en Triofox
La vulnerabilidad convierte una simple plataforma de acceso a archivos en una puerta de entrada para el compromiso completo de la red corporativa.
Mecanismo de Explotación y Escalada
- Bypass de autenticación: El atacante explota un fallo de control de acceso al manipular el encabezado HTTPHost , haciendo apuntar a “localhost”. Esto engaña al sistema y le permite cargar la página de configuración inicial del servidor, incluso si ya está configurado.
- Obtención de Privilegios: El atacante ejecuta el proceso de configuración inicial, creando una cuenta “Cluster Admin” con acceso administrativo.
- Ejecución SYSTEM (LotL): El atacante sube un script malicioso (payload) y lo ejecuta aprovechando una funcionalidad integrada de “antivirus” de Triofox, que ejecuta el archivo con privilegios del sistema (SYSTEM).
- Control Remoto: El script descargó herramientas legítimas de gestión remota (Zoho Assist, AnyDesk) desde una IP externa (84.200.80[.]252) para moverse lateralmente, realizar reconocimiento de sesiones SMB y escalar privilegios (añadiendo cuentas al grupo “Domain Admins”).
Riesgo crítico
- Punto Débil Crítico: Triofox es una plataforma de acceso remoto. Su compromiso ofrece a un atacante no autenticado un punto de apoyo directo en la red interna.
- Uso Malicioso de Funcionalidades Legítimas: El atacante utilizó la funcionalidad de “antivirus” para ejecutar código malicioso, lo que es una técnica de Living Off The Land que reduce las alertas de seguridad tradicionales.
- Explotación Activa: La explotación por el grupo UNC6485 subraya la urgencia del parcheo, ya que la ventana de riesgo fue corta.
Recomendaciones
- Parcheo y Auditoría de Configuración
- Actualizar Urgente: Verificar la versión de Triofox . Si es anterior al 16.7.10368.56560, planifique la actualización inmediata.
- Auditar Cuentas: Revisar si existen cuentas “Cluster Admin” no autorizadas o cambios de configuración iniciales inesperados.
- Verificar Módulo Antivirus: Comprobar la ruta del ejecutable configurado en el módulo “antivirus” de usuario de Triofox para asegurar que no punte a scripts o rutas no autorizadas o de.
- Controles de Red y Detección
- Segmentación estricta: Limitar el acceso a la interfaz de configuración de Triofox solo desde redes de confianza (VPN) y con autenticación restringida.
- Detección de Manipulación de Encabezados: Crear alertas para tráfico hacia endpoints de administración de Triofox con el encabezado Host manipulado (buscando “Host: localhost”).
- Monitoreo de Herramientas Legítimas: Monitorizar procesos que ejecutan AnyDesk, Zoho Assist o UEMS en servidores de acceso remoto.
- Hunting de IoC: Realice una búsqueda de túneles SSH o conexiones RDP entrantes a través de hosts que usan Triofox, y verifique la presencia de archivos descargados desde la IP conocida (84.200.80[.]252).
