"localhost" en el encabezado te convierte en administrador: un 0-day en Triofox permite obtener las claves del sistema
¿Autenticación? Para los hackers, es cosa del pasado.
Los especialistas de Mandiant detectaron la explotación activa de la vulnerabilidad de día cero en la plataforma de acceso remoto y compartición de archivos Gladinet Triofox. La vulnerabilidad CVE-2025-12480 permitía eludir la autorización y acceder a las páginas de configuración de la interfaz web, a través de las cuales los atacantes creaban nuevas cuentas de administrador y subían archivos maliciosos arbitrarios. El problema se corrigió en la versión 16.7.10368.56560, pero hasta ese momento la vulnerabilidad ya había sido utilizada al menos por un grupo.
La actividad relacionada con este error se registró el 24 de agosto de 2025. La responsabilidad del ataque se atribuye al clúster UNC6485. Los delincuentes no solo obtuvieron acceso administrativo, sino que lo combinaron con la funcionalidad vulnerable del antivirus integrado, mediante la cual ejecutaron código arbitrario con identidad SYSTEM.
El descubrimiento del ataque comenzó con una alerta automática en el sistema, que registró la carga de utilidades de terceros y actividad en directorios del sistema. Al cabo de 16 minutos los especialistas de Mandiant confirmaron la amenaza, aislaron el equipo y establecieron que Triofox permite la elusión de autorización mediante la falsificación del encabezado Host. Si en la solicitud se especifica "localhost", el servidor automáticamente concedía acceso a AdminDatabase.aspx —la página de configuración inicial destinada únicamente a instalaciones locales.
A través de esa página los atacantes iniciaron un reinicio del asistente de instalación y crearon una cuenta de administrador del sistema completa bajo el nombre Cluster Admin. Ese acceso permitía controlar por completo la aplicación y pasar a la siguiente fase: la subida de scripts maliciosos mediante el mecanismo de comprobación del antivirus.
Por la arquitectura de Triofox, el usuario puede establecer una ruta arbitraria al archivo ejecutable designado como motor antivirus. El script cargado luego se invoca con los privilegios del proceso padre, lo que otorga acceso total al sistema. Los atacantes aprovecharon esta característica para ejecutar el archivo centre_report.bat, que mediante PowerShell descargaba la siguiente etapa del ataque: el instalador de Zoho UEMS disfrazado como archivo ZIP. Tras la instalación del agente legítimo de UEMS, implantaron Zoho Assist y AnyDesk, persistiendo en el sistema objetivo.
Mediante el acceso remoto, los atacantes ejecutaron comandos de recopilación de información: visualización de sesiones SMB, análisis de usuarios, intentos de cambio de contraseñas y adición de cuentas a los grupos de administradores locales y de dominio. Para un canal de comunicación oculto subieron al servidor utilidades legítimas PuTTY y Plink (con los nombres silcon.exe y sihosts.exe), a través de las cuales abrieron un túnel SSH cifrado hacia un servidor C2 externo. Ese canal permitía encaminar el tráfico RDP por el puerto 3389, proporcionando control remoto completo sobre la máquina infectada.
El análisis de la vulnerabilidad mostró que la comprobación principal de acceso se implementa en el método CanRunCriticalPage() de la biblioteca GladPageUILib.dll. Si el encabezado Host contiene "localhost", la verificación de direcciones IP de confianza en la configuración se ignora y se concede automáticamente el acceso a las páginas críticas. Así, la ausencia de validación de la fuente de la solicitud y la dependencia de una configuración correcta creaban las condiciones para un ataque sin autenticación.
Mandiant recomienda actualizar Triofox a la versión más reciente, auditar todas las cuentas de administrador y asegurarse de que la ruta al motor antivirus no apunte a archivos ejecutables de terceros. También se aconseja analizar el tráfico en busca de actividad SSH anómala.