-
09/04/2020
-
121
-
1.255 bài viết
Lỗ hổng Triofox biến công cụ antivirus thành vũ khí cho tin tặc
Google’s Mandiant vừa cảnh báo về một chiến dịch tấn công mới, trong đó tin tặc khai thác lỗ hổng nghiêm trọng trong phần mềm chia sẻ và đồng bộ file Triofox của Gladinet - công ty chuyên phát triển các giải pháp lưu trữ đám mây cho doanh nghiệp.
Lỗ hổng mang mã CVE-2025-12480 có điểm CVSS 9,1, cho phép kẻ tấn công vượt qua bước đăng nhập, truy cập thẳng vào trang cấu hình và từ đó biến tính năng antivirus thành công cụ chạy mã độc với quyền SYSTEM.
Vấn đề bắt nguồn từ việc ứng dụng tin tưởng giá trị “localhost” trong phần Host của yêu cầu HTTP, tạo điều kiện cho kẻ tấn công giả mạo yêu cầu truy cập để vượt qua bước xác thực. Khi vào được trang cấu hình ban đầu, chúng khởi chạy lại quá trình cài đặt và tạo tài khoản quản trị mới. Sau đó, kẻ tấn công đăng nhập bằng tài khoản này để khai thác tính năng antivirus tích hợp của Triofox. Phần mềm cho phép người dùng chỉ định đường dẫn đến chương trình quét virus, nhưng tệp tại đường dẫn này lại được thực thi với quyền hệ thống (SYSTEM) khiến tin tặc có thể chạy mã độc với đặc quyền cao nhất trên máy chủ.
Cách thức tấn công diễn ra khá tinh vi. Kẻ tấn công cấu hình đường dẫn quét antivirus trỏ đến một tệp script độc hại và khi được kích hoạt, script này sẽ tải xuống cùng cài đặt các công cụ truy cập từ xa như Zoho Assist và AnyDesk. Nhờ đó, chúng dễ dàng kiểm soát hệ thống từ xa, thu thập thông tin, thay đổi mật khẩu và thêm tài khoản của mình vào nhóm quản trị viên cục bộ hoặc Domain Admin để mở rộng quyền kiểm soát.
Để duy trì kết nối và che giấu hoạt động, nhóm này tiếp tục sử dụng PuTTY và Plink để thiết lập đường hầm SSH tới máy chủ điều khiển, từ đó mở cổng RDP cho phép truy cập trực tiếp vào hệ thống bị xâm nhập.
Nhóm tin tặc UNC6485 đã khai thác lỗ hổng này từ ngày 24/8/2025 dù Gladinet đã phát hành bản vá trong phiên bản 16.7.10368.56560. Đây là một trong nhiều lỗ hổng của Triofox bị khai thác trong năm 2025. Dù hiện chưa có mã khai thác công khai (PoC), chuyên gia an ninh mạng WhiteHat cho biết đã có báo cáo ghi nhận tấn công thực tế và công bố một số chỉ dấu xâm nhập (IOC) liên quan.
Để giảm thiểu rủi ro, các quản trị viên và đội ngũ an ninh mạng cần cập nhật Triofox lên phiên bản đã vá hoặc mới hơn, vì bản vá này đã chặn khả năng truy cập trang cấu hình sau khi cài đặt. Tiếp theo, cần rà soát các tài khoản quản trị, xóa tài khoản lạ, đặt lại mật khẩu mạnh và bật xác thực đa yếu tố nếu có. Ngoài ra, cần kiểm tra lại cấu hình antivirus trong Triofox, đảm bảo đường dẫn chương trình quét hợp lệ và không cho phép chạy các tệp lạ. Cuối cùng nên giới hạn truy cập giao diện quản trị từ Internet, chỉ cho phép kết nối thông qua VPN hoặc địa chỉ nội bộ đã kiểm soát.
Nếu tổ chức của bạn đang sử dụng Triofox và có máy chủ được đặt public trên Internet, hãy kiểm tra, vá lỗi và rà soát hệ thống ngay lập tức để tránh trở thành nạn nhân tiếp theo.
Lỗ hổng mang mã CVE-2025-12480 có điểm CVSS 9,1, cho phép kẻ tấn công vượt qua bước đăng nhập, truy cập thẳng vào trang cấu hình và từ đó biến tính năng antivirus thành công cụ chạy mã độc với quyền SYSTEM.
Vấn đề bắt nguồn từ việc ứng dụng tin tưởng giá trị “localhost” trong phần Host của yêu cầu HTTP, tạo điều kiện cho kẻ tấn công giả mạo yêu cầu truy cập để vượt qua bước xác thực. Khi vào được trang cấu hình ban đầu, chúng khởi chạy lại quá trình cài đặt và tạo tài khoản quản trị mới. Sau đó, kẻ tấn công đăng nhập bằng tài khoản này để khai thác tính năng antivirus tích hợp của Triofox. Phần mềm cho phép người dùng chỉ định đường dẫn đến chương trình quét virus, nhưng tệp tại đường dẫn này lại được thực thi với quyền hệ thống (SYSTEM) khiến tin tặc có thể chạy mã độc với đặc quyền cao nhất trên máy chủ.
Cách thức tấn công diễn ra khá tinh vi. Kẻ tấn công cấu hình đường dẫn quét antivirus trỏ đến một tệp script độc hại và khi được kích hoạt, script này sẽ tải xuống cùng cài đặt các công cụ truy cập từ xa như Zoho Assist và AnyDesk. Nhờ đó, chúng dễ dàng kiểm soát hệ thống từ xa, thu thập thông tin, thay đổi mật khẩu và thêm tài khoản của mình vào nhóm quản trị viên cục bộ hoặc Domain Admin để mở rộng quyền kiểm soát.
Để duy trì kết nối và che giấu hoạt động, nhóm này tiếp tục sử dụng PuTTY và Plink để thiết lập đường hầm SSH tới máy chủ điều khiển, từ đó mở cổng RDP cho phép truy cập trực tiếp vào hệ thống bị xâm nhập.
Nhóm tin tặc UNC6485 đã khai thác lỗ hổng này từ ngày 24/8/2025 dù Gladinet đã phát hành bản vá trong phiên bản 16.7.10368.56560. Đây là một trong nhiều lỗ hổng của Triofox bị khai thác trong năm 2025. Dù hiện chưa có mã khai thác công khai (PoC), chuyên gia an ninh mạng WhiteHat cho biết đã có báo cáo ghi nhận tấn công thực tế và công bố một số chỉ dấu xâm nhập (IOC) liên quan.
Để giảm thiểu rủi ro, các quản trị viên và đội ngũ an ninh mạng cần cập nhật Triofox lên phiên bản đã vá hoặc mới hơn, vì bản vá này đã chặn khả năng truy cập trang cấu hình sau khi cài đặt. Tiếp theo, cần rà soát các tài khoản quản trị, xóa tài khoản lạ, đặt lại mật khẩu mạnh và bật xác thực đa yếu tố nếu có. Ngoài ra, cần kiểm tra lại cấu hình antivirus trong Triofox, đảm bảo đường dẫn chương trình quét hợp lệ và không cho phép chạy các tệp lạ. Cuối cùng nên giới hạn truy cập giao diện quản trị từ Internet, chỉ cho phép kết nối thông qua VPN hoặc địa chỉ nội bộ đã kiểm soát.
Nếu tổ chức của bạn đang sử dụng Triofox và có máy chủ được đặt public trên Internet, hãy kiểm tra, vá lỗi và rà soát hệ thống ngay lập tức để tránh trở thành nạn nhân tiếp theo.
Theo The Hacker News