CVE-2025-12480の検出：GladinetのTriofoxで修正された認証されていないアクセス制御の脆弱性を悪用するハッカーたち

公開後 CVE-2024-1086、ランサムウェアキャンペーンで積極的に悪用されたLinuxカーネルの権限昇格の脆弱性、別の重大な脆弱性が発見され、攻撃者が認証を回避して追加の悪意ある操作を行えるようになったことが明らかになりました。 

2025年、Gladinetは脅威アクターの標的となり、その製品に積極的にフィールドで悪用される重大な脆弱性が指摘されました。ある ゼロデイ Gladinet CentreStackとTriofoxで（CVE-2025-30406）暗号化キー管理の欠陥によりリモートコード実行を許可しました。その後、CVE-2025-11371が修正済みのインスタンスで観測され、攻撃者がWeb.configからマシンキーを取得して、ViewStateペイロードを偽造し、完全性チェックを回避し、サーバー側での安全でない逆シリアル化をトリガーし、以前の脆弱性を介してリモートコードを実行できるようになりました。 

最近、GoogleのMandiant研究者らはTriofoxの第三の重大な脆弱性（CVE-2025-12480）を特定、攻撃者が認証を回避して管理者アカウントを作成し、プラットフォームのアンチウイルス機能を使用してリモートアクセスツールを展開できることを許可するものです。

CVE-2025-12480の悪用試行を検出する

サイバー犯罪者は、システムへの主要なゲートウェイとして脆弱性をますます悪用しています。レポート Threat Landscape 2025 ENISAによると、脆弱性の悪用は初期アクセスベクターの5分の1以上（21.3％）を占め、その68％がマルウェアのデプロイにつながりました。今年、NISTにより登録された新しい脆弱性が42,000件以上あり、これらのトレンドはサイバーセキュリティチームへの圧倒的なプレッシャーを示しています。修正されていない各システムは潜在的な侵入口であり、規模の大きな妥協を防ぐためには早期の検出が不可欠です。

GladinetのTriofoxで特定された最近の脆弱性CVE-2025-12480は、この増大する脅威を強調し、最新の攻撃に対抗するための防御的行動の重要性を強調しています。 

今すぐSOC Primeプラットフォームに登録 して、AIネイティブの脅威インテリジェンスとキュレートされた検出コンテンツの広範なコレクションにアクセスし、CVE-2025-12480を悪用する攻撃キャンペーンに対してチームを支援します。ボタンを押してください 検出を探索 以下より、関連する検出スタックに直接飛び込めます。

検出を探索

さらに、「UNC6485」タグを使用して、これらの攻撃の背後にある脅威クラスターの活動に関連するTTPに関するコンテンツを探すことができます。より広範なSOCコンテンツにおける脆弱性の悪用検出のために、セキュリティエンジニアは「CVE」タグを適用することもできます。

すべてのルールは、複数のSIEM、EDR、およびデータレイク形式に対応しており、 MITRE ATT&CK® フレームワークにマッピングされています。さらに、各ルールは、 CTI リンク、攻撃タイムライン、監査設定、トリアージ推奨事項、その他の関連コンテキストで強化されています。

セキュリティエンジニアはまた、 Uncoder AI、検出エンジニアリングのためのIDEおよびコパイロットを利用できます。Uncoderを使用することで、防御者は、IOCをカスタムハンティングクエリに瞬時に変換したり、生の脅威レポートから検出コードを作成したり、攻撃フロー図を生成したり、ATT&CKタグの予測を有効にしたり、AI駆動のクエリ最適化を活用したり、複数のプラットフォームでの検出コンテンツを翻訳したりできます。例えば、サイバー防御者は、最新の 研究 に基づいて攻撃フローダイアグラムを数秒で生成できます。

CVE-2025-12480の解析

2025年11月10日、GoogleのMandiant Threat Defenseは 詳細な分析 of CVE-2025-12480 （CVSSスコア9.1）、Gladinetのファイル共有およびリモートアクセスプラットフォームTriofoxのゼロデイ脆弱性を公開しました。この脆弱性は、2025年8月24日以降、UNC6485として追跡されるハッカーグループにより積極的に武装化され、攻撃者が認証を回避し、システムレベルの特権で悪意のあるコードを実行することを可能にしました。

Mandiantの研究者は、UNC6485がTriofoxのCVE-2025-12480を悪用して保護された設定ページにアクセスしたことを報告しました。これらのページを利用して、攻撃者は設定プロセスを通じてCluster Adminというネイティブ管理者アカウントを作成しました。この新アカウントはその後、プラットフォームのアンチウイルス機能を通じて悪意あるファイルをアップロードして実行するために使用されました。

アンチウイルス機能は、ユーザーが選択されたアンチウイルスのために任意のパスを指定することを許可します。この構成されたプロセスは SYSTEM アカウント下で実行されるため、攻撃者はシステム全特権で任意のスクリプトを実行できます。この場合、対戦者はバッチスクリプト centre_report.batを使用しました。このスクリプトは、Zoho Unified Endpoint Management System (UEMS) のインストーラを 84.200.80[.]252 からダウンロードし、Zoho AssistやAnyDeskのようなリモートアクセスツールを展開しました。

攻撃は、HTTPホストヘッダーの巧妙な操作から開始されました。ホストヘッダーを「localhost」に変更することで、攻撃者は CanRunCriticalPage() 関数を悪用し、不適切にHTTPホストを信頼し、リクエスト元を確認せずにリモートアクセスを可能にしました。これにより、制限されるべきページへのアクセスが可能となり、攻撃者のIPアドレスの偽装が可能でした。アクセスを取得すると、攻撃者はCluster Adminアカウントを利用して、アンチウイルス構成経路を介して悪意あるスクリプトを実行しました。 

検出を回避するために、UNC6485はPlinkやPuTTYのようなツールをダウンロードし、ポート433を介してコマンド＆コントロール（C2）サーバーへ暗号化されたSSHトンネルを確立し、最終的にRDPのインバウンドトラフィックを許可し、継続的なリモートアクセスを可能にしました。

脆弱性はTriofox v16.4.10317.56372に影響し、バージョン v16.7.10368.56560で修正されました。ユーザーは修正版に直ちにアップデートすることが強く推奨されます。CVE-2025-12480の緩和ステップには、未承認のエントリを検出するために管理者アカウントを審査すること、アンチウイルス設定をレビューして確認すること、不審な外部SSHトラフィックを監視して進行中の侵害を検出することも含まれます。さらに、潜在的な脆弱性悪用試行を事前に検出するために、セキュリティチームはリアルタイムの脅威インテリジェンスとAI支援の自動化などの能力を備えた SOC Prime製品スイート に依存し、組織の防御を強化することができます。