Hackers descobriram uma forma engenhosa de atacar a plataforma de partilha de ficheiros Triofox, da Gladinet. Explorando uma vulnerabilidade crítica, os atacantes conseguiram transformar a funcionalidade de antivírus incorporada numa ferramenta para obter execução remota de código (RCE) com os privilégios máximos de SYSTEM.
O alerta foi dado pelos investigadores do Google Threat Intelligence Group (GTIG) e da Mandiant, que detetaram a atividade maliciosa a 24 de agosto, visando uma versão da plataforma lançada em abril.
O "truque" engenhoso que explorou o antivírus
A vulnerabilidade (CVE-2025-12480) permitia aos atacantes contornar completamente a autenticação. A plataforma continha uma falha lógica que concedia acesso de administrador a qualquer pedido que parecesse vir de 'localhost'.
O grupo UNC6485, responsável pelo ataque, apenas teve de falsificar o cabeçalho HTTP (HTTP Host header) para se fazer passar por 'localhost' e ganhar acesso imediato às páginas de configuração. Segundo a Mandiant, as instalações padrão ficam expostas se o parâmetro opcional TrustedHostIp não estiver configurado.
Uma vez dentro do sistema, os atacantes criaram uma nova conta de administrador chamada 'Cluster Admin'. A parte mais engenhosa veio a seguir: carregaram um script malicioso e configuraram a plataforma Triofox para o utilizar como o scanner antivírus oficial.
Ao fazer isto, sempre que o sistema executava a suposta verificação de "antivírus", estava na verdade a executar o código dos hackers com os privilégios de SYSTEM, o nível mais elevado de acesso no Windows.
O objetivo: acesso total e movimento lateral
Com controlo total sobre o servidor, o script malicioso usou o PowerShell para descarregar mais ferramentas. Os investigadores detalham que foi instalado o Zoho UEMS, que por sua vez implementou o Zoho Assist e o AnyDesk.
Estas ferramentas legítimas de acesso remoto foram usadas pelos atacantes para operações de movimento lateral dentro da rede comprometida. Além disso, utilizaram ferramentas como Plink e PuTTY para criar um túnel SSH, encaminhando o tráfego para a porta RDP (3389) do anfitrião.
Correção disponível, mas a plataforma esteve na mira
A Gladinet corrigiu esta falha (CVE-2025-12480) na versão 16.7.10368.56560, lançada a 26 de julho. No entanto, a Mandiant recomenda que todos os administradores atualizem para a versão mais recente (16.10.10408.56683, de 14 de outubro), que também corrige outra vulnerabilidade grave.
Esta plataforma tem estado debaixo de fogo. No mês passado, a Huntress reportou uma outra falha zero-day (CVE-2025-11371) nos produtos CentreStack e Triofox, que permitia o acesso a ficheiros de sistema e que também foi corrigida na versão mais recente.
A Mandiant recomenda que, além de atualizar, os administradores auditem todas as contas de administrador e verifiquem se o motor antivírus do Triofox não está configurado para executar scripts ou binários não autorizados.
Nenhum comentário
Seja o primeiro!