Với mã định danh CVE-2025-12480, khai thác thành công lỗ hổng này cho phép tác nhân đe dọa bypass xác thực và truy cập vào các trang thiết lập của ứng dụng.
Các nhà nghiên cứu bảo mật tại Google Threat Intelligence Group (GTIG) đã phát hiện ra hoạt động độc hại này vào ngày 24/8, sau khi nhóm tin tặc UNC6485 nhắm mục tiêu vào máy chủ Triofox phiên bản 16.4.10317.56372, được phát hành vào ngày 3/4.
Nguyên nhân gốc rễ của CVE-2025-12480 liên quan đến lỗi logic kiểm soát truy cập, trong đó quyền đăng nhập quản trị viên được gán khi URL request của ứng dụng host bằng giá trị “localhost”. Điều này cho phép kẻ tấn công giả mạo giá trị này thông qua HTTP Host header và bypass mọi kiểm tra xác thực.
Google giải thích rằng, nếu tham số TrustedHostIp tùy chọn không được cấu hình trong web.config, thì kiểm tra “localhost” sẽ trở thành điểm yếu có thể bị khai thác, khiến các cài đặt mặc định có thể bị truy cập trái phép. Bản vá đối với lỗ hổng CVE-2025-12480 đã có trong Triofox phiên bản 16.7.10368.56560, phát hành ngày 26/7.
Cuộc điều tra của GTIG xác định các tin tặc UNC6485 khai thác lỗ hổng bằng cách gửi HTTP GET request với giá trị “localhost” trong HTTP Referer URL. Các nhà nghiên cứu cho biết, sự xuất hiện của header localhost request từ nguồn bên ngoài là rất bất thường. Điều này cấp cho những kẻ tấn công có quyền truy cập vào trang cấu hình AdminDatabase.aspx, được khởi chạy để thiết lập Triofox sau khi cài đặt.
Sau khi tạo tài khoản quản trị mới, kẻ tấn công đăng nhập vào máy chủ và lợi dụng tính năng diệt virus tích hợp, cho phép người dùng cung cấp đường dẫn tùy ý cho phần mềm chống virus để thực thi tệp độc hại với đặc quyền SYSTEM. Theo đó, tin tặc đã tạo một tài khoản quản trị viên mới có tên “Cluster Admin” và sử dụng nó để tải lên một tập lệnh độc hại. Sau đó, chúng cấu hình Triofox để sử dụng đường dẫn của nó làm vị trí cho phần mềm chống virus.
Các nhà nghiên cứu cho biết tập lệnh batch độc hại thực thi trình tải xuống PowerShell để chèn phần mềm khác là Zoho UEMS, từ một địa chỉ bên ngoài.
.jpg)
Chuỗi tấn công UNC6485
Zoho UEMS được sử dụng để triển khai Zoho Assist và AnyDesk trên máy chủ bị xâm phạm, được sử dụng cho các hoạt động truy cập từ xa và di chuyển ngang hàng.
Những kẻ tấn công cũng đã tải xuống và sử dụng các công cụ Plink và PuTTY để tạo đường hầm SSH và chuyển tiếp lưu lượng truy cập từ xa đến cổng RDP của máy chủ (3389).
.jpg)
Hoạt động sau khai thác
Mặc dù các nhà nghiên cứu đã xác thực rằng, lỗ hổng bị khai thác (CVE-2025-12480) đã được khắc phục trong Triofox 16.7.10368.56560, nhưng vẫn khuyến nghị quản trị viên hệ thống áp dụng bản cập nhật bảo mật mới nhất có trong phiên bản 16.10.10408.56683, được phát hành vào ngày 14/10.
Một khuyến nghị khác là kiểm tra tài khoản quản trị và công cụ diệt virus của Triofox có được thiết lập để chạy các tập lệnh hoặc tệp nhị phân trái phép hay không. Báo cáo của GTIG cung cấp danh sách các chỉ số xâm phạm (IoC) để giúp các bên bảo vệ ngăn chặn các cuộc tấn công này. Thông tin chi tiết cũng có sẵn trên VirusTotal.
