แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ระดับ critical และฟีเจอร์ antivirus ที่มีมาในตัวของ Triofox ซึ่งเป็นแพลตฟอร์มสำหรับแชร์ไฟล์ และการเข้าถึงจากระยะไกลของ Gladinet เพื่อให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ด้วยสิทธิ์ระดับ SYSTEM
ช่องโหว่ด้านความปลอดภัยที่ถูกใช้ในการโจมตีครั้งนี้คือ CVE-2025-12480 ซึ่งสามารถใช้เพื่อ bypass การยืนยันตัวตน และเข้าถึงหน้าการตั้งค่าของแอปพลิเคชันได้
นักวิจัยด้านความปลอดภัยจาก Google Threat Intelligence Group (GTIG) พบการโจมตีดังกล่าวเมื่อวันที่ 24 สิงหาคม หลังจากกลุ่มผู้ไม่หวังดีที่ถูกติดตามภายใต้ชื่อ UNC6485 ได้มุ่งเป้าโจมตีเซิร์ฟเวอร์ของ Triofox ที่ใช้เวอร์ชัน 16.4.10317.56372
สาเหตุหลักของช่องโหว่ CVE-2025-12480 คือช่องโหว่ใน access control logic ที่จะให้สิทธิ์ admin เมื่อ host ของ URL ที่ request มายังแอปพลิเคชันมีค่าเท่ากับ 'localhost'
สิ่งนี้ทำให้ผู้โจมตีสามารถปลอมแปลงค่านี้ผ่าน HTTP Host header และการ bypass การยืนยันตัวตนทั้งหมดได้
Mandiant อธิบายว่า หาก optional TrustedHostIp parameter ไม่ได้ถูกกำหนดค่าไว้ในไฟล์ web.config การตรวจสอบ 'localhost' ก็จะกลายเป็นกลไกป้องกันเพียงอย่างเดียว ซึ่งทำให้การติดตั้งแบบ default เสี่ยงต่อการถูกเข้าถึงโดยไม่ผ่านการยืนยันตัวตน
การแก้ไขสำหรับ CVE-2025-12480 มีออกมาใน Triofox เวอร์ชัน 16.7.10368.56560 ซึ่งมีการเผยแพร่เมื่อวันที่ 26 กรกฎาคมที่ผ่านมา และนักวิจัยของ GTIG ได้ยืนยันกับผู้พัฒนาแล้วว่าช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้ว
การนำฟีเจอร์ของ Antivirus มาใช้
การสืบสวนของ Mandiant สรุปได้ว่า UNC6485 ได้ใช้การโจมตีจากช่องโหว่ดังกล่าวโดยการส่ง HTTP GET request พร้อมกับระบุ "localhost" ใน HTTP Referer URL
นักวิจัยอธิบายว่า "การปรากฏของ 'localhost' ใน host header ของ request ที่มาจากแหล่งภายนอก ถือเป็นเรื่องที่ผิดปกติอย่างมาก และโดยทั่วไปจะไม่พบใน traffic ที่ถูกต้องตามปกติ"
การกระทำดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงหน้าการตั้งค่า AdminDatabase.aspx ซึ่งเป็นหน้าที่ใช้สำหรับตั้งค่า Triofox หลังจากการติดตั้งได้สำเร็จ
ผู้โจมตีได้ใช้ขั้นตอนการตั้งค่าเพื่อสร้างบัญชีผู้ดูแลระบบใหม่ ที่ชื่อ 'Cluster Admin' และใช้บัญชีดังกล่าวอัปโหลด script ที่เป็นอันตราย จากนั้น พวกเขาได้กำหนดค่า Triofox ให้ใช้ path ของ script นั้นเป็นตำแหน่งสำหรับตัวสแกน antivirus
GTIG อธิบายว่า "ไฟล์ที่ถูกกำหนดค่าให้เป็นตำแหน่งของตัวสแกน anti-virus จะได้รับสิทธิ์ของ parent process ของ Triofox ซึ่งทำงานภายใต้ context ของบัญชี SYSTEM" ซึ่งทำให้ผู้โจมตีจะสามารถเรียกใช้โค้ดที่เป็นอันตรายได้สำเร็จ
นักวิจัยระบุว่า batch file ที่เป็นอันตรายนั้น ได้รันตัวดาวน์โหลด PowerShell เพื่อดึง payload อีกตัวหนึ่ง ซึ่งเป็นตัวติดตั้ง Zoho UEMS มาจากภายนอก
Zoho UEMS ถูกใช้เพื่อติดตั้ง Zoho Assist และ AnyDesk บน host ที่ถูกโจมตี ซึ่งเครื่องมือเหล่านี้ถูกใช้สำหรับการเข้าถึงจากระยะไกล และการดำเนินการเพื่อโจมตีต่อไปภายในเครือข่าย (lateral movement)
ผู้โจมตียังได้ดาวน์โหลด และใช้เครื่องมือ Plink และ PuTTY เพื่อสร้าง SSH tunnel และส่งต่อ traffic ไปยังพอร์ต RDP (3389) ของ host
แม้ว่า Mandiant จะยืนยันแล้วว่าช่องโหว่ที่ถูกใช้ในการโจมตี (CVE-2025-12480) ได้รับการแก้ไขแล้วใน Triofox เวอร์ชัน 16.7.10368.56560 แต่พวกเขาก็แนะนำให้ผู้ดูแลระบบอัปเดตแพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดในเวอร์ชัน 16.10.10408.56683 ซึ่งถูกเผยแพร่เมื่อวันที่ 14 ตุลาคมที่ผ่านมา
คำแนะนำอีกประการหนึ่งคือการตรวจสอบบัญชีผู้ดูแลระบบ และตรวจดูว่ากลไก antivirus ของ Triofox ไม่ได้ถูกตั้งค่าให้รัน scripts หรือไฟล์ binary ที่ไม่ได้รับอนุญาต
เมื่อเดือนที่แล้ว Huntress ได้รายงานว่าแฮ็กเกอร์กำลังใช้การโจมตีจากช่องโหว่ประเภท Local File Inclusion (LFI) ที่เป็นช่องโหว่แบบ zero-day (CVE-2025-11371) ในผลิตภัณฑ์ Gladinet CentreStack และ Triofox เพื่อเข้าถึงไฟล์ของระบบโดยไม่ต้องมีการยืนยันตัวตน
ช่องโหว่ดังกล่าวถูกใช้ในการโจมตีเครือข่ายของบริษัทสำเร็จอย่างน้อย 3 ครั้ง และได้รับการแก้ไขในอีกหนึ่งสัปดาห์ต่อมา ในเวอร์ชัน 16.10.10408.56683 (เวอร์ชันล่าสุด)
ที่มา : bleepingcomputer
You must be logged in to post a comment.