Son dönemlerde siber güvenlik tehditleri, özellikle uzaktan erişim araçları (RAT) kullanımıyla birlikte daha da artış göstermiştir. Gladinet’in Triofox dosya paylaşım ve uzaktan erişim platformunda keşfedilen CVE-2025-12480 kodlu zafiyet, bu tehditlerin somut bir örneğini oluşturmaktadır. Araştırmalar, saldırganların bu zafiyeti kullanarak sistem ayrıcalıklarıyla uzaktan kod yürütme yeteneği kazandığını göstermektedir.
CVE-2025-12480 Zafiyetinin Kısa Analizi
CVE-2025-12480, Triofox uygulamasının yönetici ayar sayfalarına erişim sağlamak için kimlik doğrulama atlamasına olanak tanıyan bir zafiyettir. Bu zafiyet, uygulamanın talep URL’sindeki ana bilgisayarın ‘localhost’ olarak ayarlandığında, yöneticilere erişim izni verilmesiyle oluşmaktadır. Mandiant’a göre, web.config dosyasında opsiyonel TrustedHostIp parametresi yapılandırılmadığında, ‘localhost’ kontrolü tek kısıtlayıcı olarak kalmakta ve varsayılan kurulumlar, kimlik doğrulama olmaksızın erişime açık hale gelmektedir.
Saldırıların Gerçekleştiği Süreç
Google Threat Intelligence Group (GTIG) tarafından yapılan araştırmalar, UNC6485 kod adıyla anılan bir tehdit grubunun Triofox’un 16.4.10317.56372 sürümünü hedef alarak bu zafiyeti kullandığını göstermektedir. Saldırganlar, HTTP Referer URL’sinde localhost değerini içeren bir GET isteği göndererek AdminDatabase.aspx yapılandırma sayfasına erişim sağlamışlardır. Buradan yola çıkarak, bir ‘Cluster Admin’ yönetici hesabı oluşturup zararlı bir betik yüklemişlerdir.
Antivirüs Özelliğinin İstismarı
Triofox’un antivirüs tarayıcısının konumunu, saldırganların oluşturduğu bu yöneticilik hesabıyla yapılandırmaları, kritik bir zafiyet ortaya koymaktadır. GTIG’nin açıklamalarına göre, antivirüs tarayıcısı konumunda tanımlanan dosya, Triofox’un ana işlem hesap ayrıcalıklarını devralarak SYSTEM hesabı bağlamında çalışmakta, bu da saldırganlara kod yürütme yeteneği kazandırmaktadır.
Saldırganlar, bu şekilde sahte bir PowerShell yükleyici çalıştırarak başka bir yükü, yani Zoho UEMS yükleyicisini dış bir adres üzerinden indirmişlerdir. Bu araç, Zoho Assist ve AnyDesk gibi uzaktan erişim araçlarını kullanmak üzere saldırganlara olanak tanımıştır. Ayrıca, Plink ve PuTTY gibi araçlarla SSH tüneli oluşturarak hedefin RDP portuna (3389) uzaktan trafik yönlendirmişlerdir.
Öneriler ve Güvenlik Tedbirleri
Mandiant, Triofox 16.7.10368.56560 sürümünde bu zafiyetin giderildiğini doğrulasa da, sistem yöneticilerinin en son güvenlik güncellemelerini, yani 16.10.10408.56683 sürümünü uygulamalarını önermektedir. Ayrıca, yöneticilik hesaplarının denetlenmesi ve Triofox’un antivirüs motorunun yetkisiz betikler veya ikili dosyaları çalıştırmadığından emin olunması kritik öneme sahiptir.
GTIG’nin raporu, bu tür saldırıları engellemek için kullanılabilecek bazı aşırı önemli indikatörler sağlamakta, ayrıca VirusTotal’da bu detaylar mevcuttur. Siber güvenlik dünyasında bilinçli olmak ve sürekli güncellenen savunma mekanizmaları kullanmak, sistemlerinizi bu tür tehditlere karşı korumak açısından hayati önem taşımaktadır.
Sonuç olarak, Triofox’un antivirüs özelliği üzerinden gerçekleştirilen bu saldırılar, yazılım güvenliğinin sağlanmasının ve zafiyetlerin hızlı bir şekilde patch edilmesinin ne kadar önemli olduğunu bir kez daha gözler önüne sermektedir.
