Hackers exploraram uma vulnerabilidade crítica e uma falha na funcionalidade antivírus integrada da plataforma Triofox, da Gladinet, que oferece compartilhamento de arquivos e acesso remoto.
Com isso, conseguiram executar código remotamente com privilégios de SYSTEM.
A falha utilizada no ataque é a
CVE-2025-12480
, que permite burlar a autenticação e acessar as páginas de configuração do aplicativo.
Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram a atividade maliciosa em 24 de agosto, quando o grupo de ameaças interno UNC6485 mirou um servidor Triofox executando a versão 16.4.10317.56372, lançada em 3 de abril.
A raiz do problema está numa falha na lógica de controle de acesso, que concede privilégios administrativos quando o host da URL da requisição é igual a ‘localhost’.
Os atacantes exploram essa brecha ao falsificar o valor do cabeçalho HTTP Host, contornando todas as verificações de autenticação.
Segundo a Mandiant, caso o parâmetro opcional TrustedHostIp não esteja configurado no arquivo web.config, a verificação do ‘localhost’ torna-se o único mecanismo de proteção, deixando instalações padrão vulneráveis ao acesso não autenticado.
A correção para a
CVE-2025-12480
foi disponibilizada na versão 16.7.10368.56560 do Triofox, lançada em 26 de julho, e os pesquisadores do GTIG confirmaram junto à Gladinet que a falha foi eliminada.
A investigação da Mandiant revelou que o grupo UNC6485 explorou a vulnerabilidade enviando uma requisição HTTP GET com ‘localhost’ no campo HTTP Referer.
“A presença do cabeçalho localhost numa requisição externa é altamente incomum e normalmente não é esperada em tráfego legítimo”, ressaltam os pesquisadores.
Esse acesso permitiu abrir a página AdminDatabase.aspx, destinada à configuração inicial do Triofox após a instalação.
A partir daí, os invasores criaram uma conta administrativa chamada ‘Cluster Admin’ e utilizaram essa conta para enviar um script malicioso.
Em seguida, configuraram o Triofox para usar o caminho desse script como local do scanner antivírus.
O GTIG explica que “o arquivo configurado como scanner antivírus herda os privilégios do processo pai do Triofox, que roda no contexto do usuário SYSTEM”, permitindo a execução de código com altos privilégios.
Os pesquisadores também apontam que o script malicioso lançou um downloader em PowerShell para obter um segundo payload, um instalador do Zoho UEMS, a partir de um endereço externo.
O Zoho UEMS, por sua vez, foi usado para instalar o Zoho Assist e o AnyDesk no host comprometido, ferramentas empregadas para acesso remoto e movimentação lateral.
Além disso, os invasores baixaram e utilizaram as ferramentas Plink e PuTTY para criar um túnel SSH, redirecionando o tráfego remoto para a porta RDP 3389 da máquina.
Embora a Mandiant tenha verificado que a vulnerabilidade explorada foi corrigida na versão 16.7.10368.56560, recomenda-se que administradores apliquem a atualização mais recente, disponível na versão 16.10.10408.56683, lançada em 14 de outubro.
Outra orientação importante é auditar as contas administrativas e verificar se o mecanismo antivírus do Triofox não está configurado para executar scripts ou binários não autorizados.
O relatório do GTIG também inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar defensores a bloquear esses ataques.
Detalhes completos estão disponíveis no VirusTotal.
No mês passado, a Huntress reportou que hackers estavam explorando uma vulnerabilidade zero-day de local file inclusion (
CVE-2025-11371
) nos produtos Gladinet CentreStack e Triofox para acessar arquivos do sistema sem autenticação.
Essa falha resultou em pelo menos três ataques bem-sucedidos contra redes corporativas e foi corrigida uma semana depois, na mesma atualização 16.10.10408.56683.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...