概要
Mandiant Threat Defenseのサイバーセキュリティ研究者らは、Gladinet社のファイル共有プラットフォーム「Triofox」に存在する重大なゼロデイ脆弱性(CVE-2025-12480)を発見しました。この脆弱性は、攻撃者が認証をバイパスし、システムレベルの権限で悪性コードを実行することを可能にするものです。脅威アクターグループ「UNC6485」は、2025年8月24日という早い時期からこの脆弱性を積極的に悪用していました。
この脆弱性はTriofoxバージョン16.4.10317.56372に影響を与え、現在はリリース16.7.10368.56560でパッチが適用されています。
脆弱性の詳細
- CVE ID: CVE-2025-12480
- ベンダー: Gladinet
- 製品: Triofox
- 脆弱性タイプ: 認証されていないアクセス制御 / ホストヘッダーインジェクション
- 深刻度: Critical
- CVSSスコア: 9.8 (推定)
この脆弱性は、Triofoxのコードベース内のCanRunCriticalPage()関数に存在していました。この関数は、HTTPホストヘッダーを不適切に信頼し、リクエストがローカルホストから発信されたものであることを検証しなかったため、リモートの攻撃者が接続元を偽装することを許していました。
攻撃の手口
攻撃は、巧妙な2段階のプロセスで行われました。
- 認証バイパス: 攻撃者はまず、HTTPホストヘッダーを操作して認証制御をバイパスしました。ウェブリクエストのホストヘッダー値を単に「localhost」に変更するだけで、攻撃者は本来制限されるべき重要な設定ページへの不正アクセスを獲得しました。
- アンチウイルス機能の悪用: 初期アクセスに成功した後、UNC6485は侵害されたセットアップインターフェースを通じて「Cluster Admin」という新しい管理者アカウントを作成しました。その後、このアカウントでログインし、Triofoxに組み込まれているアンチウイルス機能の2つ目の脆弱性を悪用しました。攻撃者は、アンチウイルススキャナーのパスを正規のセキュリティソフトウェアではなく、自身の悪性バッチスクリプトを指すように設定できることを発見しました。共有フォルダーにファイルがアップロードされると、Triofoxは自動的に設定された「アンチウイルス」スキャナー(実際には攻撃者のペイロード)を完全なSYSTEMアカウント権限で実行しました。
攻撃後の活動
この手法により、UNC6485はZohoリモートアクセスソフトウェア、AnyDesk、およびPlinkやPuTTYなどのSSHトンネリングユーティリティを含む複数のツールを展開しました。脅威アクターはこれらのツールを使用して、コマンド&コントロールサーバーへの暗号化された接続を確立し、システム情報を列挙し、侵害されたアカウントをDomain Adminsグループに追加することで特権昇格を試みました。
検出と対策
Mandiantは、Google Security Operationsを使用して16分以内に侵入を検出し、リモートアクセスユーティリティの疑わしい展開や一時ディレクトリでの異常なファイル活動を特定しました。セキュリティチームは、外部からのリクエストに「localhost」リファラーヘッダーが含まれる異常なHTTPログエントリを観測し、これが悪用試行の明確な指標となりました。
推奨事項
Triofoxを実行している組織は、直ちにバージョン16.7.10368.56560以降にアップグレードする必要があります。また、セキュリティチームは以下の対策を講じるべきです。
- すべての管理者アカウントに不正なエントリがないか監査する。
- アンチウイルスエンジンの設定を検証する。
- Mandiantが公開している検出クエリを使用して、攻撃者のツールを探索する。
- 異常なアウトバウンドSSHトラフィックを監視し、進行中の侵害を特定する。