Фирма Mandiant сообщила об активной эксплуатации критической уязвимости в платформе Triofox от Gladinet. Уязвимость CVE-2025-12480 позволяла злоумышленникам обходить аутентификацию и запускать произвольные коды.
Обнаруженная уязвимость
Уязвимость CVE-2025-12480 была выявлена компанией Mandiant. Злоумышленники смогли обойти аутентификацию и получить доступ к конфигурационным страницам, где устанавливали новый администраторский аккаунт.
Уязвимость позволяла использовать встроенный антивирус Triofox для запуска вредоносных файлов с правами SYSTEM. Для этого антивирусный сканер был настроен на выполнение вредоносного скрипта.
Уязвимость в системах удалённого доступа: что надо знать
Предпринятые действия и советы
Компания Mandiant наблюдала за атакующими, обозначенными как группировка UNC6485. Они использовали данную уязвимость с 2025-08-24. Атакующие настроили антивирус на загрузку установщика Zoho UEMS, чтобы развернуть средства удалённого доступа, такие как Zoho Assist и AnyDesk.
Специалисты Mandiant рекомендуют обновить Triofox до последней версии, провести аудит администраторских аккаунтов и убедиться, что антивирусный движок не настроен на выполнение неподписанных скриптов или бинарных файлов.
