Triofox のゼロデイ CVE-2025-12480:悪意のペイロードによりアンチウイルス機能を侵害

Hackers Exploiting Triofox 0-Day Vulnerability to Execute Malicious Payload Abusing Anti-Virus Feature

2025/11/11 CyberSecurityNews — Gladinet の Triofox ファイル共有プラットフォームに存在する、深刻な未認証アクセスの脆弱性 CVE-2025-12480 が積極的に悪用されていることを、Google Mandiant が明らかにした。2025年8月から、この脆弱性を悪用してきた脅威アクター UNC6485 は、管理者アクセスを不正に取得してシステムを侵害し、永続的なリモート制御を確立している。脆弱性 CVE-2025-12480 が影響を及ぼす範囲は、Triofox のバージョン 16.4.10317.56372 以下である。

HTTP ホストヘッダー攻撃

攻撃者は HTTP ホストヘッダー・インジェクション技術を悪用して、ホストヘッダーを “localhost” に変更することで認証チェックを回避し、機密性の高い “AdminDatabase.aspx” コンフィグ・ページにアクセスする。

通常、このページが表示されるのは初期設定時にのみとなるが、認証関数 CanRunCriticalPage() がリクエストの送信元を適切に検証できない場合には、このページへの到達が可能になってしまう。

exploitation chain
exploitation chain

それを悪用して認証を通過する攻撃者は、新しい管理者アカウントを作成し、アプリケーション内での権限昇格が可能になる。

このエクスプロイト・チェーンが特に危険になるのは、Triofox に組み込まれているウイルス対策機能のミスコンフィグと組み合わされるときである。具体的に言うと、ウイルス対策スキャナーに任意の実行パスを設定した攻撃者は、Windows 環境における最高権限レベル SYSTEM アカウントでの実行を可能にする。

AttributeDetails
CVE IDCVE-2025-12480
VendorGladinet
ProductTriofox
Vulnerability TypeUnauthenticated Access Control / Host Header Injection
SeverityCritical
CVSS Score9.8 (estimated)
ウイルス対策機能のミスコンフィグ

これまでに記録されている攻撃では、悪意のバッチ・スクリプトを公開ファイル共有にアップロードした脅威アクターが、それをウイルス対策エンジンのパスとして設定していた。

Anti-virus engine path set to a malicious batch script
Anti-virus engine path set to a malicious batch script


ファイルが共有にアップロードされると、悪意のスクリプトが SYSTEM 権限で自動的に実行され、システムが完全に侵害される可能性がある。ポスト・エクスプロイトの活動から明らかになったのは、これらの侵害の深刻さである。

Zoho Unified Endpoint Management エージェントを導入した攻撃者は、その後に AnyDesk も導入した。彼らは Plink ユーティリティの名前を変更し、C2 (Command and Control) サーバへ向けた暗号化された SSH リバース・トンネルを確立した。

このインフラを活用する攻撃者は、暗号化されたチャネルを介して RDP トラフィックを転送し、ネットワーク・ベースの検出システムを回避しながら、リモート・デスクトップ・アクセスを維持し続けた。

しかし、Google Security Operations の複合的な検出機能を活用する Mandiant は、アラート検出から 16 分以内という短時間で、影響を受けた環境を封じ込めることに成功した。具体的に言うと、異常なリモート・アクセス・ツールの展開と不審なファイル・ステージング活動の特定が行われたという。

Overview of the post-exploitation activity
Overview of the post-exploitation activity

すでに Gladinet は、パッチ・バージョン 16.7.10368.56560 をリリースし、この問題に対処している。その一方で、Mandiant が推奨するのは、影響を受けるすべての環境の即時アップグレードと、管理アカウントの包括的な監査である。

そこで確認すべきは、ウイルス対策エンジンが承認されたバイナリのみを実行していることである。また、エンタープライズ・ネットワーク内での潜在的な侵害またはラテラル・ムーブメントの試みを示唆する、異常な送信 SSH トンネル・トラフィックの監視も、Mandiant は推奨している。

Triofox の問題は、認証チェックの不備と、ウイルス対策機能のミスコンフィグの組み合わせに原因があるようです。HTTP ホストヘッダーを “localhost” に偽装する攻撃者は、管理者だけがアクセスできるコンフィグ・ページに外部からアクセスします。さらに、ウイルス対策スキャナーの実行パスを悪意のスクリプトに置き換えることで、SYSTEM 権限でのコード実行を可能にしています。こうした設計上の欠陥とミスコンフィグの連鎖が、深刻な侵害につながったと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Triofox で検索を、ご参照ください。