Hackers aproveitam vulnerabilidade no Triofox para assumir controle do sistema

Vulnerabilidade no Triofox possibilita que hackers contornem autenticação e utilizem antivírus interno para executar código como SYSTEM.

12/11/2025 18:00

2 min de leitura

Triofox ataque cibernético em servidor corporativo, ilustrando h...

Vulnerabilidade Crítica no Triofox Exposta por Ataques Recentes

Pesquisadores de segurança identificaram uma vulnerabilidade crítica na plataforma Triofox, desenvolvida pela Gladinet, que permite a atacantes burlar a autenticação e acessar configurações internas do sistema. Catalogada como CVE-2025-12480, essa falha possibilita a manipulação do módulo antivírus da ferramenta, permitindo a execução de códigos maliciosos com privilégios de nível SYSTEM em servidores Windows.

Como o Ataque Foi Conduzido

Os atacantes, após obter acesso às configurações administrativas, criaram uma nova conta de administrador chamada “Administrador do Cluster”, que serviu como porta de entrada para a inserção de scripts maliciosos. Em uma etapa mais avançada, eles alteraram o caminho do scanner antivírus interno do Triofox, o que permitiu que qualquer script nesse caminho herdasse privilégios de SYSTEM.

Com esse acesso privilegiado, os invasores utilizaram PowerShell para baixar e executar um instalador do Zoho UEMS, além de implantar ferramentas como Zoho Assist e AnyDesk, que são frequentemente utilizadas para controle remoto. Também foram instaladas ferramentas como PuTTY e Plink, permitindo a criação de túneis SSH e o encaminhamento de tráfego para a porta RDP (3389), garantindo controle remoto contínuo do servidor comprometido.

Riscos para Ambientes Corporativos

Esse tipo de ataque representa um grande risco para empresas que utilizam o Triofox para acesso remoto, especialmente em ambientes híbridos. Com o controle obtido em nível de sistema, toda a infraestrutura conectada ao servidor comprometido pode ser explorada, incluindo diretórios de rede e serviços críticos.

As ferramentas utilizadas pelos atacantes são comuns em ambientes corporativos, o que pode dificultar sua detecção por soluções tradicionais de segurança, caso não haja uma governança clara sobre o uso dessas aplicações.

Atualizações e Recomendações

A vulnerabilidade CVE-2025-12480 foi corrigida na versão 16.7.10368.56560, lançada em 26 de julho, e uma versão mais recente, 16.10.10408.56683, foi disponibilizada em 14 de outubro. Especialistas recomendam que administradores atualizem imediatamente para essa nova versão.

Além da atualização, as equipes de segurança devem:

  • Auditar todas as contas administrativas existentes no Triofox.
  • Verificar se o caminho do módulo antivírus não aponta para scripts ou binários desconhecidos.
  • Monitorar tráfego suspeito associado a ferramentas como Zoho Assist, AnyDesk e PuTTY.
  • Consultar a lista de indicadores de comprometimento (IoCs) fornecida pelo Google Threat Intelligence Group para detecção proativa.

Contexto Recente de Ataques à Gladinet

Recentemente, outra vulnerabilidade zero-day (CVE-2025-11371) foi identificada no Triofox e no CentreStack, permitindo a inclusão de arquivos locais sem autenticação, resultando em várias invasões corporativas antes de ser corrigida. Esse cenário destaca a crescente ameaça às plataformas de acesso remoto, que continuam sendo alvos preferenciais de grupos avançados de ataque.

A superfície de ataque está se expandindo e se tornando mais complexa, o que torna a detecção e mitigação de ameaças cada vez mais desafiadoras.

Fonte por: Its Show

controle remotohackerssegurançaTriofoxvulnerabilidade

Autor(a):

Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real

CONTINUA DEPOIS DA PUBLICIDADE

Ative nossas Notificações

Ative nossas Notificações

Fique por dentro das últimas notícias em tempo real!