هک شدن Triofox با استفاده از آسیب‌پذیری 0-Day و سوءاستفاده از ویژگی آنتی‌ویروس

محققان امنیت سایبری از Mandiant Threat Defense یک آسیب‌پذیری صفر-روز (0-Day) بحرانی را در پلتفرم اشتراک فایل Triofox شرکت Gladinet کشف کردند. این آسیب‌پذیری امکان دور زدن احراز هویت و اجرای کد مخرب با دسترسی سطح سیستم (SYSTEM) را برای مهاجمان فراهم می‌کرد.

این آسیب‌پذیری با شناسه CVE-2025-12480 ثبت شده و گروه تهدید UNC6485 از آن در حملات واقعی از تاریخ 24 آگوست 2025 بهره‌برداری کرده است. نسخه آسیب‌پذیر Triofox 16.4.10317.56372 بود و نسخه 16.7.10368.56560 این مشکل را رفع کرده است.

چگونه حمله انجام شد؟

مهاجمان از یک زنجیره سوءاستفاده دو مرحله‌ای برای دستیابی به اهداف خود استفاده کردند:

مرحله اول: دور زدن احراز هویت

• مهاجمان با تغییر هدر HTTP Host به “localhost” توانستند به صفحات پیکربندی حساس دسترسی پیدا کنند.

• این ضعف در تابع CanRunCriticalPage() وجود داشت که بدون اعتبارسنجی دقیق درخواست‌ها، هدر HTTP را به صورت غیرمطمئن اعتماد می‌کرد. به عبارتی، مهاجم می‌توانست منبع درخواست را جعل کرده و به عنوان localhost ظاهر شود.

• با این روش، مهاجمان یک حساب کاربری جدید با نام “Cluster Admin” ایجاد کردند و دسترسی مدیر کامل سیستم را به دست آوردند.

مرحله دوم: سوءاستفاده از ویژگی آنتی‌ویروس

• مهاجمان متوجه شدند که می‌توانند مسیر آنتی‌ویروس داخلی Triofox را به یک اسکریپت Batch مخرب خود اشاره دهند.

• وقتی فایل‌ها در پوشه‌های اشتراکی آپلود می‌شدند، Triofox به طور خودکار آنتی‌ویروس (که در واقع payload مخرب مهاجم بود) را با دسترسی کامل SYSTEM اجرا می‌کرد.

• این روش به مهاجمان اجازه می‌داد ابزارهای مختلفی از جمله Zoho Remote Access، AnyDesk و ابزارهای SSH مانند Plink و PuTTY را روی سیستم نصب و اجرا کنند.

• مهاجمان با استفاده از این ابزارها، اتصالات رمزگذاری شده به سرورهای Command & Control برقرار کرده و اطلاعات سیستم را جمع‌آوری کرده و تلاش کردند سطح دسترسی خود را با افزودن حساب‌های مخرب به گروه Domain Admins افزایش دهند.

شناسایی و تحلیل

محققان Mandiant توانستند نفوذ را در عرض 16 دقیقه شناسایی کنند:

• ابزارهای Google Security Operations، استقرار غیرمعمول نرم‌افزارهای دسترسی از راه دور و فعالیت‌های غیرعادی در دایرکتوری‌های موقت را شناسایی کردند.

• لاگ‌های HTTP حاوی هدرهای localhost جعلی، نشان‌دهنده تلاش مهاجمان برای سوءاستفاده بود.

راهکارهای امنیتی و مقابله

برای سازمان‌هایی که از Triofox استفاده می‌کنند، اقدامات زیر حیاتی است:

1. به‌روزرسانی فوری نرم‌افزار

   • ارتقا به نسخه 16.7.10368.56560 یا بالاتر برای رفع آسیب‌پذیری الزامی است.

2. بازرسی حساب‌های کاربری

   • تمامی حساب‌های مدیر (Admin) را بررسی کرده و از عدم وجود حساب‌های غیرمجاز اطمینان حاصل کنید.

3. بررسی تنظیمات آنتی‌ویروس

   • مسیر اسکن آنتی‌ویروس را بررسی کرده و مطمئن شوید هیچ اسکریپت یا ابزار ناشناخته‌ای به عنوان آنتی‌ویروس پیکربندی نشده باشد.

4. شکار ابزارهای مهاجم

   • با استفاده از کوئری‌های تشخیصی منتشرشده توسط Mandiant، به دنبال ابزارهای نصب شده توسط مهاجمان بگردید.

5. نظارت بر ترافیک SSH

   • پایش ترافیک خروجی SSH غیرعادی می‌تواند نشانه فعالیت مهاجم باشد.

مثال عملی برای درک بهتر

فرض کنید سازمان شما از Triofox برای اشتراک فایل بین دفاتر استفاده می‌کند. مهاجمی که به شبکه اینترنت متصل است، با تغییر هدر HTTP به localhost به صفحات مدیریتی دسترسی پیدا می‌کند. سپس مسیر آنتی‌ویروس را به یک اسکریپت خود تغییر داده و یک فایل مخرب را آپلود می‌کند. Triofox بدون اطلاع، این فایل را با دسترسی SYSTEM اجرا کرده و مهاجم می‌تواند کنترل کامل سیستم را به دست آورد. این مثال نشان می‌دهد که حتی ویژگی‌هایی که با هدف امنیت طراحی شده‌اند، می‌توانند در صورت وجود آسیب‌پذیری، به ابزار حمله تبدیل شوند.

جمع‌بندی

• آسیب‌پذیری Triofox 0-Day نمونه‌ای از سوءاستفاده از ترکیب ویژگی امنیتی و ضعف اعتبارسنجی ورودی است.

• سازمان‌ها باید به‌روزرسانی سریع نرم‌افزارها، بازرسی حساب‌ها و مسیرهای حیاتی و نظارت مستمر بر شبکه را در دستور کار قرار دهند.

• در محیط‌های سازمانی، حملات این‌چنینی نشان می‌دهد که حتی ابزارهای معتبر می‌توانند به بردار حمله تبدیل شوند و پایش مداوم و پاسخ سریع حیاتی است.