CVE-2025-12480 : exploitation post-correctif dans Triofox permet création d’administrateur et exécution de code

La division Threat Defense de Google Mandiant a confirmé l’exploitation en n-day d’une faille critique dans Triofox, la plateforme de partage de fichiers et d’accès à distance de Gladinet. La vulnérabilité, référencée CVE-2025-12480 (score CVSS 9.1), permet de contourner l’authentification et d’accéder aux pages de configuration, ouvrant la voie au téléchargement et a l’exécution de charges utiles arbitraires.

Chronologie et contexte

Mandiant indique avoir observé un groupe de menace suivi sous l’identifiant UNC6485 utiliser la faille dès le 24 août 2025, soit presque un mois après la publication d’un correctif par Gladinet dans la version 16.7.10368.56560. CVE-2025-12480 est la troisième vulnérabilité de Triofox exploitée activement cette année, après CVE-2025-30406 et CVE-2025-11371.

Methode d’exploitation

Selon Mandiant, l’acteur malveillant a tiré parti de l’accès non authentifie aux pages de configuration pour lancer le processus de setup et créer un nouveau compte administrateur natif nommé « Cluster Admin ». Ce compte a ensuite servi a des actions secondaires.

Pour obtenir l’exécution de code, l’attaquant s’est connecté avec ce compte administrateur, puis a utilisé la fonctionnalite d’antivirus integree pour exécuter des fichiers malveillants. Lors de la configuration de l’antivirus, Triofox autorise la saisie d’un chemin arbitraire pour le moteur antivirus. Le fichier renseigné comme emplacement de l’analyseur hérite des privileges du processus parent Triofox, s’executant sous le compte SYSTEM.

Les attaquants ont ainsi configuré le chemin de l’outil antivirus pour pointer vers un script batch malveillant, « centre_report.bat », qui téléchargeait un installateur du Zoho Unified Endpoint Management System (UEMS) depuis 84.200.80[.]252. Cet installateur a ensuite servi a déployer des outils d’accès a distance tels que Zoho Assist et AnyDesk sur la machine compromise.

Activites post-compromission

Zoho Assist a été utilise pour la reconnaissance, puis pour tenter de modifier les mots de passe de comptes existants et d’ajouter ces comptes aux groupes de locaux administrateurs et au groupe « Domain Admins » afin d’obtenir une escalade de privileges.

Pour eviter la détection, les opérateurs ont aussi téléchargé des outils comme Plink et PuTTY afin d’etablir un tunnel chiffré vers un serveur de commandement et controle (C2) en SSH sur le port 433, avec l’objectif final de permettre du trafic RDP entrant.

Recommandations

• Mettre a jour Triofox vers la derniere version disponible, si ce n’est deja fait.
• Auditer les comptes administrateurs et supprimer ou verifier les comptes suspects, en particulier le compte « Cluster Admin » si present.
• Verifier la configuration du moteur antivirus de Triofox pour s’assurer qu’il ne pointe pas vers des scripts ou binaires non autorises.
• Contrôler les connexions sortantes et les tunnels SSH inhabituels (par ex. usage de Plink/PuTTY sur des ports non standards) et surveiller les activites RDP entrantes.

Bien que l’objectif final de la campagne reste inconnu, ces mesures réduisent le risque d’exploitation reussie et limitent les possibilites d’escalade de privileges.