Mandiant Threat Defense’den siber güvenlik araştırmacıları, Gladinet’in Triofox dosya paylaşım platformunda, saldırganların kimlik doğrulamayı atlamasına ve sistem düzeyinde ayrıcalıklarla kötü amaçlı kod çalıştırmasına olanak tanıyan kritik bir sıfır gün güvenlik açığını ortaya çıkardı.
CVE-2025-12480 olarak takip edilen güvenlik açığı, 24 Ağustos 2025 gibi erken bir tarihte UNC6485 tehdit aktörü grubu tarafından aktif olarak kullanıldı.
Kusur, Triofox’un 16.4.10317.56372 sürümünü etkiledi ve o zamandan beri 16.7.10368.56560 sürümünde yama uygulandı.
| Bağlanmak | Detaylar |
|---|---|
| CVE Kimliği | CVE-2025-12480 |
| Satıcı | Gladnet |
| Ürün | Trifox |
| Güvenlik Açığı Türü | Kimliği Doğrulanmamış Erişim Kontrolü / Ana Bilgisayar Başlığı Ekleme |
| Şiddet | Kritik |
| CVSS Puanı | 9,8 (tahmini) |
Saldırı Nasıl İşledi?
Kullanım zinciri karmaşık iki adımlı bir süreci içeriyordu. İlk olarak saldırganlar, kimlik doğrulama kontrollerini atlamak için HTTP ana bilgisayar başlıklarını değiştirdi.
Bilgisayar korsanları, web isteklerinde ana bilgisayar başlık değerini yalnızca “localhost” olarak değiştirerek, kısıtlanması gereken kritik yapılandırma sayfalarına yetkisiz erişim elde etti.
Güvenlik açığı, Triofox’un kod tabanındaki CanRunCriticalPage() işlevinde mevcuttu.
İşlev, isteklerin localhost’tan geldiğini doğrulamadan HTTP ana bilgisayar başlığına yanlışlıkla güvendi ve bu da uzaktaki saldırganların bağlantının kaynağını taklit etmesine olanak sağladı.
UNC6485, ilk erişimi elde ettikten sonra, güvenliği ihlal edilmiş kurulum arayüzü aracılığıyla “Küme Yöneticisi” adında yeni bir yönetici hesabı oluşturdu.
Daha sonra oturum açtılar ve Triofox’un yerleşik anti-virüs özelliğindeki ikinci bir zayıflıktan yararlandılar.
Saldırganlar, anti-virüs tarayıcı yolunu, yasal güvenlik yazılımı yerine kendi kötü amaçlı toplu komut dosyalarını işaret edecek şekilde yapılandırabileceklerini keşfettiler.
Dosyalar paylaşılan klasörlere yüklendiğinde Triofox, aslında saldırganın tam SİSTEM hesap ayrıcalıklarına sahip yükü olan yapılandırılmış “anti-virüs” tarayıcısını otomatik olarak çalıştırdı.
Bu teknik, UNC6485’in Zoho uzaktan erişim yazılımı, AnyDesk ve Plink ve PuTTY gibi SSH tünelleme yardımcı programları dahil olmak üzere birden fazla aracı dağıtmasını sağladı.
Tehdit aktörleri bu araçları, komut ve kontrol sunucularına şifreli bağlantılar kurmak, sistem bilgilerini numaralandırmak ve güvenliği ihlal edilmiş hesapları Domain Admins grubuna ekleyerek ayrıcalık yükseltmeyi denemek için kullandı.
Mandiant, Google Güvenlik Operasyonlarını kullanarak izinsiz girişi 16 dakika içinde tespit ederek, uzaktan erişim yardımcı programının şüpheli dağıtımını ve geçici dizinlerdeki olağandışı dosya etkinliğini tespit etti.
Güvenlik ekipleri, istismar girişiminin açık bir göstergesi olan, localhost yönlendiren başlıklarına sahip harici istekleri gösteren anormal HTTP günlük girişlerini gözlemledi.
Triofox çalıştıran kuruluşların derhal 16.7.10368.56560 veya üzeri bir sürüme yükseltme yapması gerekir.
Güvenlik ekipleri, yetkisiz girişlere karşı tüm yönetici hesaplarını denetlemeli, anti-virüs motoru yapılandırmalarını doğrulamalı ve Mandiant’ın yayınlanan algılama sorgularını kullanarak saldırgan araçlarını aramalıdır. Olağandışı giden SSH trafiğinin izlenmesi, devam eden güvenlik ihlallerinin belirlenmesine yardımcı olabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.