Vulnerabilidade Crítica no Triofox Exposta por Ataques Recentes
Pesquisadores de segurança identificaram uma vulnerabilidade crítica na plataforma Triofox, desenvolvida pela Gladinet, que permite a atacantes burlar a autenticação e acessar configurações internas do sistema. Catalogada como CVE-2025-12480, essa falha possibilita a manipulação do módulo antivírus da ferramenta, permitindo a execução de códigos maliciosos com privilégios de nível SYSTEM em servidores Windows.
Como o Ataque Foi Conduzido
Os atacantes, após obter acesso às configurações administrativas, criaram uma nova conta de administrador chamada “Administrador do Cluster”, que serviu como porta de entrada para a inserção de scripts maliciosos. Em uma etapa mais avançada, eles alteraram o caminho do scanner antivírus interno do Triofox, o que permitiu que qualquer script nesse caminho herdasse privilégios de SYSTEM.
Com esse acesso privilegiado, os invasores utilizaram PowerShell para baixar e executar um instalador do Zoho UEMS, além de implantar ferramentas como Zoho Assist e AnyDesk, que são frequentemente utilizadas para controle remoto. Também foram instaladas ferramentas como PuTTY e Plink, permitindo a criação de túneis SSH e o encaminhamento de tráfego para a porta RDP (3389), garantindo controle remoto contínuo do servidor comprometido.
Riscos para Ambientes Corporativos
Esse tipo de ataque representa um grande risco para empresas que utilizam o Triofox para acesso remoto, especialmente em ambientes híbridos. Com o controle obtido em nível de sistema, toda a infraestrutura conectada ao servidor comprometido pode ser explorada, incluindo diretórios de rede e serviços críticos.
As ferramentas utilizadas pelos atacantes são comuns em ambientes corporativos, o que pode dificultar sua detecção por soluções tradicionais de segurança, caso não haja uma governança clara sobre o uso dessas aplicações.
Atualizações e Recomendações
A vulnerabilidade CVE-2025-12480 foi corrigida na versão 16.7.10368.56560, lançada em 26 de julho, e uma versão mais recente, 16.10.10408.56683, foi disponibilizada em 14 de outubro. Especialistas recomendam que administradores atualizem imediatamente para essa nova versão.
Além da atualização, as equipes de segurança devem:
- Auditar todas as contas administrativas existentes no Triofox.
- Verificar se o caminho do módulo antivírus não aponta para scripts ou binários desconhecidos.
- Monitorar tráfego suspeito associado a ferramentas como Zoho Assist, AnyDesk e PuTTY.
- Consultar a lista de indicadores de comprometimento (IoCs) fornecida pelo Google Threat Intelligence Group para detecção proativa.
Contexto Recente de Ataques à Gladinet
Recentemente, outra vulnerabilidade zero-day (CVE-2025-11371) foi identificada no Triofox e no CentreStack, permitindo a inclusão de arquivos locais sem autenticação, resultando em várias invasões corporativas antes de ser corrigida. Esse cenário destaca a crescente ameaça às plataformas de acesso remoto, que continuam sendo alvos preferenciais de grupos avançados de ataque.
A superfície de ataque está se expandindo e se tornando mais complexa, o que torna a detecção e mitigação de ameaças cada vez mais desafiadoras.
Fonte por: Its Show