ファイル共有およびリモートアクセスプラットフォームであるGladinetのTriofoxに存在する重大な脆弱性CVE-2025-12480が、サイバー攻撃者によって悪用されていることが判明しました。この脆弱性を悪用することで、攻撃者は認証をバイパスし、任意のペイロードをアップロードして実行することが可能になります。GoogleのMandiant Threat Defenseは、この脆弱性を悪用する脅威アクターをUNC6485として追跡しています。
この脆弱性は、Triofoxのバージョン16.7.10368.56560より前のバージョンに影響を及ぼします。Mandiantの報告によれば、UNC6485は、Gladinetが脆弱性の修正パッチをリリースした2025年6月から約1か月後の8月24日から、この脆弱性の悪用を開始していたことが確認されています。CVE-2025-12480は、今年に入ってからTriofoxで活発に悪用されている3番目の脆弱性であり、CVE-2025-30406およびCVE-2025-11371に続くものです。
脆弱性の悪用に成功した攻撃者は、リモートアクセスツールをインストールし、システムへの不正アクセスを確立します。この攻撃は、ファイル共有プラットフォームを悪用して企業ネットワークに侵入する、新たな攻撃ベクトルの出現を示唆しています。セキュリティ専門家は、Triofoxユーザーに対し、最新バージョンへのアップデートと、セキュリティ対策の強化を強く推奨しています。
Triofoxの初期設定ページに対する保護が強化されたものの、設定完了後もアクセスが可能であったことが、今回の脆弱性悪用を許した要因の一つと考えられます。攻撃者はこの脆弱性を悪用し、設定プロセスを悪用して新たな管理者アカウントを作成し、そのアカウントを使用してさらなる活動を行ったと報告されています。
UNC6485の手口:脆弱性CVE-2025-12480の悪用
Mandiantの調査によると、UNC6485は、HTTP Hostヘッダーの脆弱性を悪用し、リクエストでlocalhostをスプーフィングすることで、アクセス制御をバイパスし、通常は制限されているAdminDatabase.aspx設定ページに到達しました。攻撃者は、CanRunCriticalPage()関数が検証されていないホストヘッダーのみに依存しているという設定ミスを悪用し、Triofoxの初期化プロセスをトリガーして、完全な権限を持つ新しいネイティブの「Cluster Admin」アカウントを作成しました。
コード実行を達成するために、攻撃者は新しく作成された管理者アカウントを使用してログインしました。そして、組み込みのアンチウイルス機能を使用して実行するために、悪意のあるファイルをアップロードしました。アンチウイルス機能を設定するために、ユーザーは選択したアンチウイルスの任意のパスを提供できます。アンチウイルススキャナーの場所として構成されたファイルは、Triofox親プロセスアカウントの権限を継承し、SYSTEMアカウントのコンテキストで実行されます。
攻撃者は、アンチウイルスエンジンのパスを自身のスクリプトを指すように構成することで、悪意のあるバッチスクリプト("centre_report.bat")を実行することができました。このスクリプトは、84.200.80[.]252からZoho Unified Endpoint Management System(UEMS)のインストーラーをダウンロードし、それを使用してZoho AssistやAnyDeskなどのリモートアクセスプログラムをホストに展開するように設計されています。
Zoho Assistによって提供されるリモートアクセスは、偵察活動に利用され、既存のアカウントのパスワードを変更したり、ローカル管理者および「Domain Admins」グループにアカウントを追加して、特権昇格を試みたりするために悪用されました。攻撃者は、PlinkやPuTTYなどのツールをダウンロードして、SSH経由でポート433を介してコマンドアンドコントロール(C2)サーバーへの暗号化されたトンネルをセットアップし、最終的にはインバウンドRDPトラフィックを許可することを目的としていました。
侵入後の活動:リモートアクセスツール展開と権限昇格
初期アクセスに成功した後、攻撃者はPowerShellを介して偽装されたZoho Unified Endpoint Management System(UEMS)インストーラーを展開し、リモートコントロールのためにZoho AssistとAnyDeskをドロップしました。これらのツールを使用して、Server Message Block(SMB)セッションを列挙し、ドメイン/管理者グループのメンバーシップを変更して特権を昇格させ、認証情報を盗み出しました。
永続性と回避のために、Plink/PuTTYを介してコマンドアンドコントロール(C2)サーバーへのSSHトンネルを確立し、トラフィックを正当なリモート管理アクティビティとしてマスクしながら、ポート433を介して秘密のリモートデスクトッププロトコル(RDP)アクセスを可能にしました。攻撃者は、リモートアクセスツールを展開し、システムへの永続的なアクセスを確立しようとしました。これは、情報窃盗やマルウェアの展開など、さらなる悪意のある活動につながる可能性があります。
攻撃者は、検出を回避するために、PlinkやPuTTYなどのツールをダウンロードし、SSH経由でポート433を介してコマンドアンドコントロール(C2)サーバーへの暗号化されたトンネルをセットアップしました。これにより、トラフィックを正当なリモート管理アクティビティとしてマスクしながら、インバウンドRDPトラフィックを許可することが可能になりました。
攻撃キャンペーンの最終的な目的は不明ですが、Triofoxユーザーは最新バージョンにアップデートし、管理者アカウントを監査し、Triofoxのアンチウイルスエンジンが許可されていないスクリプトやバイナリを実行するように構成されていないことを確認することが推奨されます。
対策と推奨事項:Triofoxユーザーへの呼びかけ
Mandiantが特定した悪意のあるキャンペーンは、脅威アクターが8月にパッチが適用されていないTriofoxバージョンを悪用していた証拠を示しています。したがって、GTIGレポートは、Triofoxユーザーに最新リリースにアップグレードするだけでなく、管理者アカウントを監査し、Triofoxのアンチウイルスエンジンが許可されていないスクリプトまたはバイナリを実行するように構成されていないことを確認することを推奨しています。
セキュリティチームは、投稿の下部にリストされているハンティングクエリを使用して攻撃者ツールを検索し、異常なアウトバウンドSSHトラフィックを監視する必要もあります。脆弱性CVE-2025-12480は6月からパッチが適用されていますが、悪意のあるキャンペーンは、脅威アクターがパッチが適用されていないTriofoxバージョンを8月に悪用していた証拠を示しています。
Triofoxユーザーは、以下の対策を講じることを推奨します。
- -最新バージョンへのアップデート: 脆弱性CVE-2025-12480に対するパッチが適用された最新バージョン(16.7.10368.56560以降)にアップデートしてください。
- -管理者アカウントの監査: 不正な管理者アカウントが作成されていないか、既存のアカウントの権限が不当に変更されていないかを確認してください。
- -アンチウイルスエンジンの設定確認: Triofoxのアンチウイルスエンジンが、許可されていないスクリプトやバイナリを実行するように構成されていないことを確認してください。
- -異常なSSHトラフィックの監視: アウトバウンドSSHトラフィックを監視し、異常な接続がないかを確認してください。
他のTriofoxの脆弱性とCISA KEVカタログへの追加
Triofoxに影響を与える別の脆弱性であるCVE-2025-11371も、最近、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用された脆弱性(KEV)カタログに追加されました。これは、Triofoxが依然として攻撃者にとって魅力的な標的であることを示唆しています。
CISAのKEVカタログに追加されたことは、政府機関がこの脆弱性を優先的に修正する必要があることを意味します。民間企業も、政府機関と同様に、この脆弱性に対する警戒を強める必要があります。CVE-2025-11371は、リモートからのコード実行を可能にする可能性があり、組織のセキュリティ体制に重大なリスクをもたらします。
Triofoxを使用している組織は、CVE-2025-11371およびその他の既知の脆弱性に対するパッチを迅速に適用し、セキュリティ対策を強化する必要があります。CISAのKEVカタログは、組織が優先的に対処すべき脆弱性を特定するための貴重なリソースとなります。
セキュリティ業界への警鐘:ファイル共有プラットフォームの脆弱性管理
今回のTriofoxの脆弱性悪用事件は、ファイル共有プラットフォームにおける脆弱性管理の重要性を改めて浮き彫りにしました。企業は、ファイル共有プラットフォームのセキュリティ対策を強化し、定期的な脆弱性スキャンを実施することで、攻撃のリスクを低減する必要があります。また、従業員に対するセキュリティ意識向上トレーニングを実施し、不審なファイルやリンクを開かないように注意を促すことも重要です。
ファイル共有プラットフォームは、企業にとって不可欠なツールですが、同時に攻撃者にとって魅力的な標的でもあります。企業は、ファイル共有プラットフォームのセキュリティ対策を継続的に見直し、最新の脅威に対応していく必要があります。今回の事件を教訓に、セキュリティ対策の強化に取り組むことが重要です。...