Exploit permitiu escalada e acesso remoto no Triofox

Uma vulnerabilidade crítica no Triofox, plataforma de compartilhamento de arquivos e acesso remoto da Gladinet, permitiu que hackers explorassem tanto o recurso interno de antivírus quanto falhas de autenticação para obter execução remota de código com privilégios SYSTEM.

Causa raiz e exploração do CVE-2025-12480

O CVE-2025-12480 ocorre por uma falha lógica de controle de acesso: o sistema concede privilégios de administrador quando o host da URL de requisição é igual a ‘localhost’. Atacantes conseguem forjar esse valor via cabeçalho HTTP Host, burlando completamente a verificação de autenticação — especialmente em instalações sem o parâmetro TrustedHostIp no arquivo web.config.

Após acessar a página de configuração de instalação (AdminDatabase.aspx), os invasores criaram uma conta administrativa (“Cluster Admin”) e usaram esse acesso para subir scripts maliciosos no sistema. Em seguida, reconfiguraram o Triofox para apontar esse script como o “caminho do antivírus” — aproveitando que qualquer arquivo definido herda privilégios da conta pai (SYSTEM), permitindo execução de código com máxima permissão.

Cadeia de ataque: downloader PowerShell e ferramentas de acesso remoto

O arquivo malicioso executou um downloader PowerShell, baixando o instalador Zoho UEMS, que por sua vez implantou Zoho Assist e AnyDesk, usados para acesso remoto e movimentação lateral. Ferramentas adicionais como Plink e PuTTY foram utilizadas para criar túneis SSH e encaminhar o tráfego para a porta RDP (3389) do host infectado.

Correções e recomendações

A falha CVE-2025-12480 foi corrigida em 26 de julho (versão 16.7.10368.56560) e a Gladinet reforçou a atualização em outubro (versão 16.10.10408.56683), que também elimina uma vulnerabilidade zero-day anterior (CVE-2025-11371).

Recomendações:

• Atualizar o Triofox para a última versão disponível.
• Auditar contas administrativas e garantir que o antivírus não aponte para scripts/binaries não autorizados.
• Avaliar indicadores de compromisso listados pela GTIG e disponíveis no VirusTotal.

O incidente demonstra os riscos de configurações padrão inseguras e da exposição de mecanismos internos a ameaças de escalonamento de privilégios e movimentação lateral. A priorização de patches e revisões de configuração permanece essencial para mitigar ataques em ambientes de colaboração remota.